Actuarios 48 - Ciberriesgos by Instituto de Actuarios Españoles

Actuarios www.actuarios.org

INSTITUTO DE ACTUARIOS ESPAÑOLES

Nº 48 // PRIMAVERA 2021

CIBERRIESGOS

ENTREVISTA

MIGUEL ÁNGEL BALLESTEROS MARTÍN “El ciberespacio lleva años consolidándose como un entorno de alta relevancia económica y social, pero también de inseguridad”

DOSSIER

ANDREA BONIME-BLANC “Cyber organizational resilience is a business imperative: the essential eight steps to get there”

Patrocinador ORO

Patrocinador PLATA

Patrocinador BRONCE

ManagementSolutions Making things happen

Primavera 2021 // nº 48 // SUMARIO

Primavera 2021

Nº 48 CARTA DEL PRESIDENTE

ENTREVISTA: Miguel Ángel Ballesteros Martín

TEMA DE PORTADA Rosa Díaz. La ciberseguridad es cosa de todos

Pilar López. La ciberseguridad no es opcional en un mundo digital 10 Gonzalo Menéndez Margolles. La seguridad del dato en el ciberespacio: una aproximación legal

Mar España Martí. Protección de datos y ciberdelincuencia

Javier Candau. El Centro Criptológico Nacional como pilar del fortalecimiento de la ciberseguridad en España

José Durán Martín. Ciberriesgos, procedencia y dificultades en la investigación policial

Diego James Cano Prentice. Cyberspace in the current security environment 26 John Jackson. Principle Ethical Hacking & Considerations

Pilar Otero. El derecho penal frente a los riesgos de internet: el ciberdelito

José Manuel García, Sonia Latorre. Ciberriesgos: un acercamiento desde la perspectiva del gestor de riesgos 42 Daniel Hernández Arroyo. Cyber resiliencia en el sector asegurador 44 Eduardo Fuentes. La Comunicación de Crisis como garante reputacional 48 Guillermo Llorente. Ocho lecciones aprendidas de un ciberataque combatido por MAPFRE 50 Verónica Jiménez, Pablo Montoliu, José J. Martínez. El seguro de Ciber es cada vez más una necesidad

Mª Ángeles Navarro Bas. Ciber… riesgos, también para las aseguradoras 56

Rafael Fernández Campos. Valor del Dato: Seguridad, Privacidad y Ética

David Arroyo Guardeño. El difícil equilibrio entre riesgo y oportunidad en el contexto blockchain 62 Manuel Pérez, José J. Martínez. La España sanitaria, ciber-atacada 64 DOSSIER Andrea Bonime-Blanc

Cyber organizational resilience is a business imperative: the essential eight steps to get there LA ADMINISTRACIÓN CONTESTA

Isabel Casares San José-Marti. Sentencia Tribunal Supremo sobre ciberriesgo ESPACIO ACTUARIAL ENTREVISTA: Cristina Lloret 70 Comité CERA del IAE. En el área de gestión de riesgos, la credencial profesional de referencia es CERA SEGUROS (IM)POSIBLES

72 75

Miguel Ángel Vázquez, José Antonio Herce. De la A a la Z, o ¿tiene vacuna la estulticia? LA VIDA BUENA Cecilia y otras mujeres que se creyeron muertas

Daniel Hernández González. Nosotros 77 Rincones 77 Diego S. Garrocho Salcedo. Una amenaza estructural

NOTICIAS

ALTAS

Edita: Instituto de Actuarios Españoles C/ Víctor Andrés Belaúnde, 36. 28016 Madrid Tel. 91 457 86 96. Fax 91 457 14 07 www.actuarios.org • iae@actuarios.org

Foto de portada: iStock.com/bestdesigns Fotografía: iStock.com Maquetación: JMR Imprime: Albadalejo, S.L.

Dirección: Diego Cano, Diego S. Garrocho, Juan José de Lucio Consejo de Redacción: Irene Albarrán, Ester Arencibia, José Boada, Diego Cano, Isabel Casares, Rafael Fernández, Adolfo Gálvez, Diego S. Garrocho, Gregorio Gil de Rozas, José Antonio Herce, Daniel Hernández, David Lafuente, Juan José de Lucio, David Martín, César Maurín, Ramón Nadal, Javier Olaechea, Julián Oliver, José Miguel Rodríguez-Pardo, Luis Mª Sáez de Jáuregui, Alicia Sanmartín, Lázaro Villada

Depósito Legal: M-25517-1990 ISSN: 2530-5425 P.V.P.: 12,00€ Iva incluido Aviso legal: Las opiniones expresadas en los artículos firmados corresponden únicamente a sus autores y no necesariamente reflejan la postura del editor de la publicación.

Actuarios

RAFAEL MORENO RUIZ Presidente

EN ABRIL UN NUEVO REAL DECRETO HABILITABA LA CREACIÓN POR ORDEN MINISTERIAL DE UNA COMISIÓN TÉCNICA QUE ANALICE Y MONITORICE LAS HIPÓTESIS PARA LA ELABORACIÓN DE TABLAS BIOMÉTRICAS, EN UN NUEVO MARCO DE COLABORACIÓN PÚBLICO-PRIVADA, Y QUE CONTARÁ, ENTRE OTROS, CON EL INSTITUTO DE ACTUARIOS ESPAÑOLES

Actuarios

Queridos colegiados, estimados lectores: Tenéis en vuestras manos o en vuestras pantallas el último número de la revista Actuarios, cuyo tema de portada son los ciberriesgos. Según los últimos informes del Foro Económico Mundial (WEF), en los últimos años los principales riesgos, los de mayor impacto, son aquellos relacionados con el medio ambiente. A ellos les hemos dedicado números anteriores. Y aunque los ciberriesgos, que se encontraron entre los principales en 2018 y 2019, perdieron su relevancia respecto a los medioambientales el año pasado, desplazándolos a los puestos 6º y 7º en términos de impacto y probabilidad, el teletrabajo por la pandemia ha puesto de manifiesto que, si bien su impacto pudiera ser menor que el de los riesgos del medioambiente, están plenamente de actualidad y siguen siendo un riesgo presente. Esta carta me brinda la oportunidad de sintetizar aquellos hechos más destacados para la profesión, en los que ha participado el Instituto de Actuarios Españoles. El pasado mes de diciembre se publicaron sendas resoluciones del Director General de Seguros y Fondos de Pensiones, dando publicidad a las nuevas tablas biométricas y su aplicación en seguros de vida, a las que se sumó en abril un nuevo Real Decreto que, entre otros, modificaba el ROSSEAR, y habilitaba la creación por Orden Ministerial de una comisión técnica que analice y monitorice las hipótesis para la elaboración de tablas biométricas, en un nuevo marco de colaboración público-privada, y que contará, entre otros, con el Instituto de Actuarios Españoles. Concluía así el proceso de revisión biométrica, que ha contado con las aportaciones en cuestiones cualitativas del Instituto de Actuarios Españoles, cuya profesionalidad y rigor técnico ha sido reconocido por la DGSFP en la jornada que sobre esta materia celebró el Instituto de Actuarios el pasado 25 de marzo. El regulador reconoce de esta manera la conveniencia de disponer de un mecanismo institucional de monitorización del contraste de validez de

Primavera 2021 // nº 48 // CARTA DEL PRESIDENTE

las tablas biométricas, como buena práctica y con la profesión actuarial –representada por el Instituto de Actuarios Españoles– como elemento clave, por su experiencia en la gestión del riesgo biométrico y su responsabilidad y competencia exclusiva en la formulación de las bases técnicas actuariales. La agenda pública del Instituto en materia de previsión social nos ha llevado a reunirnos con el Ministro de Inclusión, Seguridad Social y Migraciones, José Luis Escrivá, que nos dedicó cerca de dos horas, y en la que, entre otros asuntos tratados,tuvimos la oportunidad de explicar detalladamente los distintos modelos de organización y desarrollo de la función actuarial en la Seguridad Social que existen en el mundo, y le ofrecimos nuestra colaboración para lograr el objetivo común de la sostenibilidad del sistema público de pensiones español. Se ha dado también comienzo al proceso de revisión de las bases técnicas actuariales que contienen las hipótesis económico-financieras y biométricas del cálculo de los coeficientes actuariales utilizados en el sistema para la valoración de los daños y perjuicios causados a las personas en accidentes de circulación, más conocido como Baremo de Autos, que fueron realizadas por el Instituto de Actuarios hace más de 7 años. En el mes de marzo se produjo el trámite de consulta pública del proyecto normativo, en el que el Instituto de Actuarios presentó las propuestas elaboradas por el Grupo de Trabajo que se ha creado, y que cuenta con un amplio elenco de expertos en esta materia. Asimismo, este Grupo propuso a la Junta de Gobierno que el Instituto se adhiriese a la Guía de Buenas Prácticas elaborada por la Comisión Interministerial de Seguimiento del Baremo, siendo aprobado ese mismo mes. Respecto a cuestiones de autorregulación profesio-

nal, el pasado uno de enero entró en vigor el nuevo Código de Conducta, que es común para todas las instituciones miembros de la Actuarial Association of Europe (AAE); también en enero, la Junta de Gobierno aprobó la Nota Técnica 1/2021, sobre las tablas de mortalidad a aplicar en el caso de fondos internos; y, en marzo, la Junta aprobó la adhesión del Instituto al documento directriz del Ministerio de Justicia y del Ministerio de Economía y Empresa denominado Guía de Buenas Prácticas para la aplicación del Baremo de Autos. En relación con la formación continuada, o desarrollo profesional continuo (CPD, por sus siglas en ingles), hemos logrado más que duplicar el número de actuarios que acreditan su CPD, habiendo sido 212 los que lo han realizado para el año 2020. Hemos establecido un procedimiento para facilitar que desde las propias empresas se pueda canalizar esta acreditación, y cada vez son más los Directores Actuariales o los de Recursos Humanos que se interesan por ello. Logramos también un acuerdo para facilitar la introducción de la credencial CERA (Certified Enterprise Risk Actuary), que permitirá que los colegiados en el Instituto puedan realizar los exámenes CERA en castellano. En breve empezaremos con la digitalización del papel de protocolo del Instituto, facilitando a nuestros miembros su uso, que a día de hoy ya es técnicamente posible. La marca Actuarios tiene que salir fortalecida de este proceso de digitalización. Finalmente, quería trasladaros que el próximo 28 de junio está previsto que celebremos la Asamblea General de 2021. Os iremos dando más detalles, no dejéis de mantener actualizados vuestros datos, y seguidnos en redes sociales (LinkedIn y Twitter). Recibe un cordial saludo. n

AGRADECIMIENTO El Instituto de Actuarios Españoles quiere agradecer y transmitir nuestro más afectuoso abrazo a Dª Pilar Castro de las Heras y D. César Maurín Castro, viuda e hijo de D. Ángel Maurín Flores, por la donación de los libros que han realizado al Instituto. Acompañamos un breve currículum facilitado por sus familiares a modo de agradecimiento y recuerdo del Instituto. Ángel Maurín Flores nació en 1936, en Madrid. Licenciado en Ciencias Económicas, desarrolló la mayor parte de su carrera profesional como funcionario del Cuerpo Superior de Técnicos Comerciales y Economistas del Estado. Aunque inició su carrera como funcionario en el Ministerio de Agricultura, en 1970, fue

nombrado Jefe Adjunto del Gabinete de Estudios de la Comisaría del Plan de Desarrollo Económico y Social. Posteriormente, pasó a ocupar la Jefatura de la Asesoría Económica del Ministerio del Interior. En sus últimos años en activo, desde 1996 hasta su jubilación, ocupó el cargo de Director del Gabinete Técnico del Subsecretario en el Ministerio del Interior. Gran amante de su profesión, del estudio, la lectura y de su familia; falleció el 6 de enero de 2020. Nos gusta recordarle con una de sus frases favoritas, “A cada uno según sus méritos”, como se podía leer en una de las coronas de flores que le acompañaron hasta el final. DEP

Actuarios

ENTREVISTA // nº 48 // Primavera 2021

MIGUEL ÁNGEL BALLESTEROS MARTÍN

“El ciberespacio lleva años consolidándose como un entorno de alta relevancia económica y social, pero también de inseguridad”

Las amenazas a la seguridad de las sociedades occidentales han ido modificándose, adoptando nuevas formas con el paso de los años, en particular desde la caída del muro de Berlín en 1989 y los ataques a las torres gemelas de Nueva York en 2001. ¿Puede vislumbrarse una raíz común en esta hiedra que nos ataca o por el contrario son fenómenos cuyo único elemento común es la amenaza que ejercen sobre nuestra vida cotidiana?, ¿tienen una raíz común o es una miríada de actuaciones con motivaciones diferentes? Las amenazas se adaptan a las circunstancias del momento y tanto los actores estatales como los no estatales saben aprovechar todo lo que la tecnología ofrece, sin que se sometan a legalidad alguna. Su único criterio es alcanzar su objetivo. Su labor es más fácil que la de los que nos dedicamos a defendernos. La seguridad tiene que tratar de hacer frente a múltiples ataques posibles, y ellos focalizan sus esfuerzos en un punto donde aplicar toda la contundencia. La aparición de un nuevo ámbito de actuación global como es el ciberespacio, su débil regulación, las dificultades para realizar atribuciones de autoría que evitan la represalia, y el bajo coste de las acciones, ha propiciado que cada año se incremente el número de ciberataques al tejido empresarial, a las infraestructuras críticas, a los servicios del Estado e incluso a los ciudadanos.

Actuarios

Primavera 2021 // nº 48 // ENTREVISTA

En los últimos años, ¿ha crecido el número de ciberataques? ¿Qué impacto pueden tener en el marco de la seguridad nacional? El mundo digital crece y por tanto nuestra exposición a los ciberataques también. Los datos de ciberataques de los últimos años nos indican que cada vez se detectan más y, lo más preocupante, cada día son más graves. Particularmente, son especialmente relevantes aquellos que afectan a la economía o a los servicios esenciales También son frecuentes las acciones en el ciberespacio con la finalidad de debilitar a los países aprovechando la dificultad para atribuir la autoría a un Estado concreto, ya que, con frecuencia, estas acciones se realizan a través de intermediarios o proxis. Eso hace que los ciberataques y las campañas de desinformación sean cada vez más frecuentes en la denominada zona gris de los conflictos, donde la violencia no llega a aparecer. Esto inutiliza la tradicional estrategia de la disuasión por la represalia y dificulta la prevención de los ciberataques. ¿Es el Ciberespacio un ámbito de confrontación entre potencias? El ciberespacio lleva años consolidándose como un entorno de alta relevancia económica y social, pero también de inseguridad. Un ámbito propicio para la alta velocidad de cambio, donde los riesgos y amenazas son cambiantes, poliédricos, difíciles de evaluar y de predecir. El enfrentamiento geopolítico en busca de la hegemonía económica, tecnológica e incluso militar ha visto en el ciberespacio un ámbito idóneo como medio. Inevitablemente, potencias como España se ven afectadas por esta confrontación geopolítica. La confrontación geopolítica en el ciberespacio entre China y EE.UU. es sobre todo por el dominio tecnológico, mientras que Rusia, utilizar el ciberespacio como un instrumento clave en sus estrategias hibridas. Dentro de las amenazas a la seguridad, las que provienen del mundo digital tienen una particularidad técnica que obliga a contrarrestar los ciberriesgos de manera muy específica en relación al resto de riesgos de seguridad. ¿Estamos preparados en España para esta nueva situación?

La Estrategia de Seguridad Nacional de 2017, considera que una de las dinámicas de transformación global es el ritmo acelerado de transformación, basada en la tecnología que está potenciando la interconectividad en detrimento de la seguridad. Se está empezando el despliegue de las redes 5G que va a suponer un cambio del paradigma del uso del ciberespacio con el Internet de las Cosas o la Industria 4.0 pero que también conlleva importantes riesgos para los intereses de Seguridad Nacional. La correcta gestión de los datos y de la información requieren importantes inversiones en seguridad. En 2019 se aprobó una nueva Estrategia Nacional de Ciberseguridad (ENCS) que establece cinco objetivos y siete líneas de acción desglosadas en 65 medidas para alcanzarlos. Cada año se realiza un informe para determinar el grado de consecución. Queda mucho camino por recorrer y muchos retos que abordar. Sin embargo, España ha avanzado considerablemente en la madurez de su Sistema de Ciberseguridad Nacional hasta el punto de que el Global Cybersecurity Index (GCI) elaborado por la Unión Internacional de Telecomunicaciones de Naciones Unidas posiciona a España en el puesto 7º a nivel mundial sólo superada por Reino Unido, EE.UU., Francia, Lituania, Estonia y Singapur. Dicho estudio examina cinco pilares (legal, técnico, organizativo, desarrollo de capacidades y cooperación) También la Comisión Europea destaca la Estrategia de ciberseguridad de España en el Índice de la Economía y la Sociedad Digitales (DESI) 2020.

El enfrentamiento geopolítico en busca de la hegemonía económica, tecnológica e incluso militar ha visto en el ciberespacio un ámbito idóneo como medio

¿En qué medida el Foro Nacional de Ciberseguridad que presides es una nueva manera de afrontar los ciberriesgos? La puesta en marcha del Foro Nacional de Ciberseguridad, que es una de las medidas contempladas en

Actuarios

ENTREVISTA // nº 48 // Primavera 2021

la ENCS, se constituyó el 22 de julio de 2020, como parte del sistema de ciberseguridad nacional. Se trata de un órgano de colaboración público-privada inédito y que está llamado a ser un modelo a implementar en otros ámbitos de la Seguridad Nacional. El foro ha puesto en marcha tres iniciativas para las que se han creado tres grupos de expertos que están trabajando en los siguientes temas: Cómo reforzar la formación, la educación y cualificación de los profesionales de ciberseguridad; otro grupo que se ocupa de impulsar y apoyar a la industria e I+D+i y la retención del talento; y, por último, un grupo que estudia cómo fomentar la cultura de ciberseguridad, cuyo trabajo se alineará con el Plan Integral de Cultura de Seguridad Nacional. Los riesgos lo son de carácter global, y los ciberriesgos no escapan a esa premisa. ¿De qué manera se produce la necesaria coordinación en occidente para afrontar los ciberriesgos?, ¿y en Europa de manera más específica? En este clima de confrontación geopolítica en el ciberespacio, la UE debe jugar un papel relevante y para ello, la clave es actuar lo más cohesionados posibles y apoyar a las empresas europeas que contribuyen al desarrollo del ciberespacio, ya sea como operadores de redes, proveedores, desarrolladores de aplicaciones, empresas de ciberseguridad, etc. La colaboración público-privada nunca fue tan necesaria como ahora.

La tecnología ha empoderado al ciudadano como centro de las iniciativas y medidas en el campo de la ciberseguridad e involucrando en todo el proceso al sector privado y a la sociedad en un papel de corresponsabilidad La UE se ha ido dotando de estructuras y normativas para fomentar la ciberseguridad en su territorio. Ya dispone de la Agencia de la Unión Europea para la Ciberseguridad (ENISA) con sede en Atenas, que se ha visto reforzada con la Ley de Ciberseguridad Europea (Cybersecurity Act) sin olvidar una amplia normativa que va desde la Directiva NIS que estable-

Actuarios

ce medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, hasta la recientemente aprobada Estrategia de Ciberseguridad de la UE, pasando por la creación de un marco para la certificación de productos, servicios y procesos que pretende aumentar la soberanía digital y la seguridad de Europa o la llamada “Caja de herramientas 5G”, que contiene una serie de recomendaciones para la seguridad de las redes 5G. Sin embargo, es mucho el camino que queda por recorrer para alcanzar una mayor cooperación y coordinación en el ámbito de la ciberseguridad. Para reforzar la ciberseguridad también es fundamental focalizarse en la prevención, por lo que son importantes los ejercicios que se organizan en el seno de la UE y que nos ayudan a fomentar la colaboración entre países y la UE. Uno de esos ejercicios es el Blue Olex que se realiza cada año para aprender a gestionar crisis de ciberseguridad o los Cyber Europe, organizados por la ENISA y a nivel más técnico, acciones todas ellas que nos ayudan a prepararnos antes grandes ciberataques o crisis. Los 27 Estados miembros de la UE han firmado una declaración conjunta titulada ‘Construyendo la nube de próxima generación, para empresas y el sector público en la UE. En ella, acuerdan trabajar juntos para desplegar la infraestructura y servicios de procesamiento de los datos confiables que requieren las administraciones públicas, las empresas y la ciudadanía. Podemos defendernos de los ciberriesgos, pero ¿cabe adoptar actuaciones proactivas que reduzcan su frecuencia e impacto? La estrategia apunta que la tecnología ha empoderado al ciudadano como centro de las iniciativas y medidas en el campo de la ciberseguridad e involucrando en todo el proceso al sector privado y a la sociedad en un papel de corresponsabilidad. Aunque cada año aumenta el número de ciberincidentes, también es verdad que cada año es mayor nuestra capacidad de prevención, detección y respuesta, pero es necesario seguir mejorando nuestras capacidades humanas, materiales, organizativas y de procedimientos. Uno de los mayores desafíos es disponer de personal formado, y de herramientas que permitan la detección temprana, la definición de perfiles de ataques que nos ayuden a identificar las tácticas, técnicas y procedimientos y cada vez más origen para combatirlos con la máxima rapidez. Estas capacidades se complementan con otras preventivas.

Primavera 2021 // nº 48 // ENTREVISTA

Debemos ser cada día más proactivos, en el entendimiento de que la mejor gestión de ciberincidentes es que no ocurran, para evitar la debilidad del que solo reacciona arrastrado por los acontecimientos e iniciativas de los ciberatacantes. Siempre acabamos las entrevistas con una pregunta doble. ¿Cuál es el mayor riesgo para España en el corto plazo y en el largo plazo? ¿Qué consejo nos ofreces para un joven actuario que se inicie en la profesión? El DSN todos los años publica un informe de Seguridad Nacional en el que también se hace un análisis de riesgos para los próximos años. Este estudio es el fruto de una encuesta realizada a expertos en los diversos ámbitos de la seguridad Nacional. En el Informe de 2020, el mayor riesgo que aparece son las epidemias y pandemias por su alto impacto en otros campos como son la economía o la estabilidad social. Es evidente que nadie puede sustraerse a la realidad que estamos viviendo, pero, tanto este año como el pasado, las ciberamenazas aparecen en

MIGUEL ÁNGEL BALLESTEROS MARTÍN Es el Director del Departamento de Seguridad Nacional en el Gabinete del Presidente del Gobierno. Desde mayo de 2009 hasta junio de 2018 ha sido Director del Instituto Español de Estudios Estratégicos de España, encuadrado en el Centro Superior de Estudios de la Defensa Nacional (CESEDEN). Es General de Brigada de Artillería. Ha sido profesor asociado en la Facultad de Ciencias Políticas y Sociología de la Universidad Complutense de Madrid entre 2015 y 2018, y 17 años profesor en la Universidad Pontificia de Salamanca (Campus de Madrid). Es doctor en Ciencias Políticas y Sociales por la Universidad Pontificia de Salamanca (Campus de Madrid) con Premio Extraordinario 2015. Es diplomado de Estado Mayor. Es diplomado en Investigación Operativa por

los primeros lugares, no solo por la probabilidad de que ocurran (cada año se producen en mayor número), sino por la gravedad y el impacto de las consecuencias. En el año 2019 los ciberataques a instalaciones de la administración fueron casi 43.000, de los que unos 3.000 fueron clasificados de muy alto riesgo y 37 fueron críticos. El pasado año 2020 las cifras fueron casi el doble. Por tanto, entre los retos a los que tendremos que hacer frente está la adaptación de la seguridad nacional a la adopción de tecnologías disruptivas que acompañan a todas las estrategias de digitalización a nivel mundial sumándole todas aquellas cuestiones relativas a la ciberseguridad, muchas de ellas, recogidas en la Estrategia de Ciberseguridad de 2019 y en todos los trabajos que en este ámbito se están desarrollando. A ese joven actuario que se inicia en su profesión yo le diría que preste atención a este tipo de riesgos y de la capacidad que tienen las empresas para hacer frente a este tipo de riesgos. Cada día este tipo de riesgos deberá ser más tenido en cuenta a la hora de valorar una operación o una entidad. n

la Universidad de Valencia. Ha realizado cursos de especialización en estudios estratégicos en la Universidad de Educación a Distancia de España, en la NATO School en Alemania y en el Colegio de la OTAN (NADEFCOL) en Roma. También ha realizado cursos de especialización sobre el Sistema de Satélites Helios en París y Toulouse. Es diplomado en Sistemas de Direcciones de Tiro y Detección y Localización de Objetivos. Además de los destinos como oficial de artillería de campaña y antiaérea, ha estado destinado en el Centro de Investigación Militar Operativa del Ministerio de Defensa, en la División de Inteligencia del Estado Mayor Conjunto de la Defensa. Fue el primer jefe del Centro de Satélites Helios en España. Así mismo fue jefe del Departamento de Estrategia y Relaciones Internacionales de la Escuela Superior de las Fuerzas Armadas en el Centro Superior de Estudios de la Defensa Nacional (CESEDEN). Es autor de dos libros: “En busca de una Estrategia de Seguridad Nacional” (Publicaciones Defensa, Madrid 2016) y “Yihadismo” (Editorial la Huerta Grande, Madrid 2016). Además, es coautor de 33 libros colectivos o monografías, y ha publicado numerosos artículos en revistas especializadas y en diarios como El País, ABC y La Razón.

Actuarios

TEMA DE PORTADA // nº 48 // Primavera 2021

La ciberseguridad es cosa de todos Rosa Díaz // Directora general de INCIBE

La ciberseguridad se ha convertido este año de pandemia, más que nunca, en una preocupación global, que traspasa fronteras, y que nos afecta a todos y cada uno de nosotros porque forma parte de nuestro día a día. Y debemos no solo conocerla, sino también interiorizarla y aplicarla para conseguir reducir los ciberriesgos a los que nos enfrentamos en nuestra vida digital. De ahí que la ciberseguridad también sea una prioridad para muchos gobiernos, incluido por supuesto el de España. Nos encontramos inmersos en un imparable proceso de digitalización o transformación digital, que lleva asociada inevitablemente la ciberseguridad y estos meses nos han dejado varias lecciones de las que debemos tomar nota para enfrentarnos a lo que viene. Los cambios que se han producido en la industria de la ciberseguridad, las nuevas estrategias que se han adoptado, nuestros nuevos hábitos cotidianos, formas de comunicación y de trabajo son, sin duda, el horizonte que tenemos por delante. Somos conscientes de que los delitos cibernéticos son cada vez más sofisticados y la ciberdelincuencia ha experimentado un proceso de profesionalización que podría compararse al de estructuras empresariales eficientes y eficaces. Pese a ello, en España debemos sentirnos orgullosos de tener un ecosistema de ciberseguridad muy fuerte, sustentado en la publicación de la Estrategia Nacional de Ciberseguridad el año pasado, que ha resultado crucial para avanzar hacia la protección de ciudadanos, empresas y gobiernos en el ciberespacio, con el fin de reducir los ciberriesgos. Y quiero profundizar en ese orgullo, destacando el papel que el Instituto Nacional de Ciberseguridad (INCIBE), al que tengo la suerte de dirigir, juega en esa Estrategia y en el desarrollo de sus objetivos. Me refiero al impulso de la seguridad de las redes y sistemas de las empresas; la sensibilización y concienciación de ciudadanos y empresas frente a los riesgos del ciberespacio; el impulso del talento y la alta capacitación de profesionales especializados en ciberseguridad; y por supuesto, a la colaboración internacional. En un mundo globalizado, se necesitan soluciones compartidas. Deseamos así ir de la mano de muchos otros países que comparten nuestra visión y estrategia, y por ello desarrollamos alianzas internacionales que pretenden un crecimiento conjunto, defendiendo

Actuarios

la vital importancia que supone tanto la colaboración público-privada, como entre entidades de carácter público. En nuestro caso, consideramos necesario el liderazgo público a través de nuestra institución, pero también creemos que es esencial el compromiso y la participación del resto de actores públicos y privados. La colaboración global es una herramienta imprescindible para poder fortalecer la protección de ciudadanos y empresas. España entiende la ciberseguridad no sólo como protección, sino también como palanca para la generación de confianza y crecimiento económico, y aquí INCIBE contribuye a ello a través de la mejora de las capacidades de ciberseguridad de nuestros ciudadanos y empresas, el desarrollo del ecosistema empresarial y potenciando la visibilidad internacional de nuestro país en este sector. Somos conscientes de que debemos trabajar coordinados a nivel público-público y público-privado ante la sofisticación y profesionalización de la ciberdelincuencia, con el fin de mantenernos en una posición destacada en cuanto a ciberseguridad se refiere. Cabe destacar que España se encuentra ahora mismo en la 7ª posición, según el Índice Global de la Ciberseguridad, que elabora anualmente la Unión Internacional de las Telecomunicaciones. Sin duda es una muy buena noticia pero debemos seguir trabajando, aunando esfuerzos entre los agentes implicados para mejorar y, por qué no, conseguir situar a nuestro país entre los cinco países más ciberseguros del mundo. Y así contamos ahora con la estrategia España Digital 2025, puesta en marcha por el Gobierno, como hoja de ruta que debe impulsar la Transformación Digital en España como una de las palancas fundamentales para relanzar el crecimiento económico, la reducción de la desigualdad, el aumento de la productividad y el aprovechamiento de todas las oportunidades que nos brinda esta disrupción que estamos iniciando. Y es en esta estrategia donde la ciberseguridad queda plasmada. No tengo dudas de que la ciberseguridad es y será un elemento crítico para el éxito, no solo de España Digital 2025, sino para que los procesos de transformación digital de cualquier país del mundo lleguen a su objetivo. Y también creo que cada amenaza genera una oportunidad y la nuestra ahora es que esa necesidad de estar mejor protegidos se convierta en un enor-

Primavera 2021 // nº 48 // TEMA DE PORTADA

me crecimiento del sector de la ciberseguridad, que en los próximos años será aún mayor. Pero para que la industria de la ciberseguridad continúe en auge, es fundamental reducir la brecha de talento que existe en el sector, no solo en España, sino en todo el mundo. Es difícil llegar a cubrir la demanda tan grande que existe, pero desde INCIBE trabajamos en ello día a día. Existe una creciente demanda a nivel global de profesionales de ciberseguridad como consecuencia del desarrollo de la economía digital y, en general, una digitalización cada vez más profunda y presente en la vida cotidiana de ciudadanos, empresas y Administraciones Públicas. Esto lleva a incrementarse la demanda de servicios de ciberseguridad que garanticen, en el mundo digital, los estándares de seguridad y confianza del mundo físico. Así, desde INCIBE debemos asumir un rol de dinamizador activo para detectar, promover y desarrollar el talento, de manera que nos lleve a poder dar respuesta a las necesidades que tiene nuestra industria, tanto desde el punto de vista de la disponibilidad, como de la excelencia de talento. Mencionaba anteriormente que uno de los objetivos de INCIBE es promover la concienciación entre ciudadanos, empresas y profesionales, como ustedes, los actuarios. Como entidad de referencia para el desarrollo de la ciberseguridad y la confianza digital en España para estos públicos, damos respuesta a los incidentes de ciberseguridad a través de nuestro CERT1 y ofrecemos a nuestros usuarios el 017, nuestra Línea de Ayuda en Ciberseguridad2. Se trata de un servicio telefónico gratuito y confidencial dirigido a todos nuestros públicos, empresas, ciudadanos y una especial mención a padres, menores y educadores, que tiene como objetivo resolver cualquier problema o duda de ciberseguridad que les pueda surgir en su vida digital. Podemos decir con orgullo que en el primer año de funcionamiento de ese servicio, se han atendido más de 47.000 consultas. Y haciendo referencia a la tan importante sensibilización, en concreto de empresas y profesionales, no puedo perder la ocasión de hablarles del canal específico que INCIBE les ofrece, Protege tu Empresa3. Así, nos ponemos a disposición de grandes empresas, pymes y autónomos con el objetivo de que conozcan las ventajas que ofrecen las nuevas tecnologías pero aportándoles la formación y concienciación necesaria para prevenir riesgos o estar protegidos ante ciberata-

1 https://www.incibe-cert.es/ 2 https://www.incibe.es/linea-de-ayuda-en-ciberseguridad 3 https://www.incibe.es/protege-tu-empresa

ques o robos de información (servicios de información, prevención y respuesta). Tengan en cuenta que una organización protegida es una organización responsable, en donde están en juego tanto sus intereses, como los de sus clientes, proveedores o socios. Como mencionaba al comienzo de mi artículo, la pandemia y la transformación digital nos ha llevado hacia un nuevo modelo de procesos y negocio, en el que todo o casi todo ya se puede hacer online (comercio electrónico, tramitación documental, atención al cliente, etc.). Esto lleva asociada la implementación de herramientas que nos permitan acortar distancias para llevarlo a cabo, como los sistemas de videoconferencias, el almacenamiento en la nube o el acceso remoto a los equipos corporativos. Las empresas deben por tanto invertir en ciberseguridad (formación, tecnologías o herramientas) para permitirles llevar a cabo la transición digital a la que se enfrentan reduciendo ciberriesgos. Porque cualquier empresa, independientemente de su tamaño, puede resultar víctima de un ciberataque, por tanto la ciberseguridad es una responsabilidad y debemos esforzarnos aún más para que nada ocurra. Y si finalmente sucede, mitigar el impacto para que afecte lo menos posible a la continuidad de negocio, aprender de lo ocurrido y salir fortalecidos. No obstante, en INCIBE empezamos a conocer que dentro del ámbito empresarial ya hay empresas que ven la ciberseguridad como un valor diferencial de su negocio y como un elemento generador de confianza frente a potenciales clientes. Más aún, ya implantan medidas de ciberseguridad sin que hayan tenido un incidente grave previamente. Ese es el camino y nosotros estaremos ahí para ayudarles a conseguir el objetivo. Y ante cualquier duda, les recuerdo que pueden llamarnos al 017, la Línea de Ayuda en Ciberseguridad de INCIBE. n

PARA MÁS INFORMACIÓN • https://www.incibe.es • h ttps://www.incibe.es/linea-de-ayuda-

en-ciberseguridad • https://www.incibe.es/protege-tu-empresa • https://www.osi.es • https://www.is4k.es • https://www.incibe-cert.es

Actuarios

TEMA DE PORTADA // nº 48 // Primavera 2021

La ciberseguridad no es opcional en un mundo digital Pilar López // Presidenta de Microsoft España

El mundo es cada vez más digital. Nos encontramos en un nuevo entorno de mercado donde la digitalización es la única respuesta para garantizar el crecimiento y competitividad de nuestras economías y mejorar la vida de las personas. Si bien es cierto que en los últimos años estábamos asistiendo a la transformación tecnológica de muchas empresas, la pandemia ha acelerado la digitalización de la forma en la que trabajamos, aprendemos y en definitiva vivimos. Tanto es así que, en los dos primeros meses de la COVID-19 muchas organizaciones avanzaron el equivalente a dos años en sus procesos de digitalización. Por ejemplo, tecnologías como el cloud computing, la nube, ha permitido a las empresas habilitar escenarios de teletrabajo en cuestión de horas. En España, hemos pasado de un 15% de empresas con una estrategia de teletrabajo a un 83%.

Las actividades de los ciberdelincuentes se han vuelto más sofisticadas y han aumentado los ataques que se centran en objetivos de alto valor, como gobiernos o infraestructuras críticas Ahora es momento de avanzar con lo aprendido y entrar en una etapa de “reimaginación” donde la tecnología juega un papel principal. Si antes de la pandemia confiábamos en el potencial de las tecnologías, tras la situación que estamos viviendo, esta confianza es, si cabe, aún mayor. Pero, en este proceso, además de con una enorme oportunidad, nos encontramos con nuevos desafíos. En los últimos meses se han incrementado los ciberataques que afectan a todas las organizaciones, independientemente de su tamaño o sector. Además, las actividades de los ciberdelincuentes se han vuelto más sofisticadas y han aumentado los ataques que se centran en objetivos de alto valor, como gobiernos o infraestructuras críticas.

Actuarios

En este sentido, en Microsoft disponemos de un programa denominado Government Security Program1 gracias al cual proporcionamos información a las autoridades de más de 45 países, entre ellos España, sobre amenazas de seguridad que pudieran afectar a nuestra tecnología. El objetivo último es dotar de la mayor información posible, de forma transparente y proactiva, a los responsables de ciberseguridad a nivel nacional. COVID-19 como señuelo para los ciberataques Los ciberdelincuentes aprovechan las debilidades de las organizaciones. Así, los datos del informe anual de defensa digital2 que realizamos en Microsoft señalan que la pandemia está provocando ataques dirigidos a los más vulnerables, aprovechando los escenarios tan frecuentes como el trabajo remoto, las cadenas de suministro o servicios esenciales como los del sector sanitario. Conscientes de la sobreinformación acerca del coronavirus, los ciberdelincuentes se aprovechan del estrés y de este caos informativo y de la facilidad que tenemos de hacer clic en cualquier enlace, para llevar a cabo técnicas de phishing. Según datos de nuestro último Índice de Civismo Digital (ICD), “Civismo, seguridad e interacciones online-2020”3, un informe anual en el que analizamos el comportamiento y el riesgo que corren adolescentes y adultos en la red, España, con un 44% se ha situado 13 puntos por encima de la media mundial en cuanto a engaños, estafas y fraudes en Internet. En esta categoría se incluyen la difusión de rumores falsos como las “cartas en cadena”; intentos criminales para obtener información personal; o los correos electrónicos falsos que llegan de un destinatario conocido y que esconden software malicioso. Además, un 34% dice haber recibido contacto no deseado en Internet y un 26% afirma haber sido víctima de “sexting”, un término que hace referencia al envío no deseado y recepción de mensajes, imágenes, vídeos u otros recursos, con 1 https://www.microsoft.com/en-us/securityengineering/gsp 2 https://www.microsoft.com/en-us/securityengineering/gsp 3 https://www.microsoft.com/es-es/security/business/security-intelligen ce-report

Primavera 2021 // nº 48 // TEMA DE PORTADA

contenido sexual a través del móvil u otro dispositivo en la red. Todos los países del mundo han sido víctima, al menos, de un ataque con temática COVID-19. De los millones de emails sospechosos que Microsoft analiza cada día, aproximadamente 60.000 incluyen archivos adjuntos o enlaces maliciosos relacionados con la COVID-19. Aunque esa cifra parece muy grande, es menos del 2% del volumen total de amenazas que rastreamos y contra las que protegemos activamente a diario. En definitiva, el volumen y la complejidad de los ciberataques ha crecido de forma notable en los últimos meses y, de hecho, se espera que las amenazas de seguridad puedan suponer un coste de 8.000 millones de dólares en 2022 en todo el mundo. Las empresas han respondido a la pandemia aumentando los presupuestos, incorporando personal especializado y acelerando el despliegue de tecnologías de seguridad basadas en la nube para adelantarse a los ataques de phishing y avanzar hacia arquitecturas de Zero Trust. Ante la presión para reducir los costes y la incertidumbre que ha traído consigo la COVID-19, muchas organizaciones están dando prioridad a las inversiones de seguridad. Pero… ¿cómo deberían asignarlas? Las empresas tienen que aprender a protegerse y diseñar un plan global de seguridad que incluya la correcta gestión de la identidad, la detección de amenazas, la protección de datos y la monitorización unificada. El reto para las organizaciones es elegir proveedores tecnológicos que garanticen una nube segura y preparada para el cumplimiento regulatorio allá donde desarrollen su actividad, así como crear una cultura empresarial responsable que evite que el factor humano se convierta en el eslabón más débil de la cadena ante los ataques basados en ingeniería social. Microsoft, estrategia Zero Trust y apuesta por la Inteligencia Artificial Es una lucha para las organizaciones de cualquier tamaño, y para el sector público y privado por igual. A medida que nos adentramos en esta nueva fase de transformación digital, con la tecnología cada vez más entretejida en nuestras actividades más básicas, las preguntas que debemos plantearnos como defensores de la seguridad son las siguientes ¿Cómo ayudamos a las personas a confiar en la seguridad de sus dispositivos, sus datos y sus acciones online? ¿Cómo protegemos a las empresas y organismos para que tengan tranquilidad y puedan innovar y hacer crecer nuestra economía

y ofrecernos un futuro alentador? ¿Cómo fomentamos la confianza en un mundo de confianza cero? En Microsoft nos tomamos muy en serio este desafío. Con la seguridad en nuestro ADN, somos apasionados partidarios de una mentalidad de confianza cero –Zero Trust–, que abarque todo tipo de amenazas, tanto las de fuera como las internas. Creemos que el enfoque correcto es abordar la seguridad, el cumplimiento, la identidad y la gestión como un todo interdependiente, y extender la protección a todos los datos, dispositivos, identidades, plataformas y nubes, sean o no de Microsoft. Es decir, una apuesta decidida en cada uno de los cuatro grandes aspectos que permiten una protección de 360 grados: gestión de identidades y autenticación, detección proactiva y avanzada de amenazas, protección de los datos, cumplimiento y monitorización unificada. Nuestra estrategia en ciberseguridad es única en la industria, de extremo a extremo, por un lado, con un enfoque integrado y por otro aprovechando la Inteligencia Artificial y la automatización.

Las empresas tienen que aprender a protegerse y diseñar un plan global de seguridad que incluya la correcta gestión de la identidad, la detección de amenazas, la protección de datos y la monitorización unificada La explotación de los datos es la nueva ventaja competitiva y la Inteligencia Artificial es la tecnología que va a permitir realizar un análisis de los datos que se convierta en inteligencia de negocio y en mejora de la competitividad. Y este proceso debe hacerse desde una perspectiva de confianza, que garantice los aspectos de ciberseguridad, privacidad, transparencia y cumplimiento. Si hay algo que marca una tendencia clave, tanto en el presente como en el futuro, es la apuesta por la Inteligencia Artificial como base para potenciar una seguridad proactiva que permita seguir la acelerada evolución cualitativa y cuantitativa de las ciberamenazas. Esta tecnología permite construir sistemas de alerta temprana mucho más efectivos, que hace posible enfrentarse de la forma más eficaz posible ante los crecientes riesgos de ciberseguridad.

Actuarios

TEMA DE PORTADA // nº 48 // Primavera 2021

La Inteligencia Artificial, además, hace posible que los profesionales de ciberseguridad se centren en tareas que aporten el máximo valor, reduciendo las labores administrativas y repetitivas para ayudarles a procesar grandes cantidades de alarmas de seguridad, detectar anomalías y responder a las mismas en el menor tiempo posible. En definitiva, con la Inteligencia Artificial ganamos un aliado de grandísimo valor que colabora con los equipos humanos y ayuda a mejorar el trabajo de estos profesionales altamente capacitados. En nuestro caso, es el aliado perfecto para los más de 3.500 especialistas que tenemos en la compañía dedicados específicamente a velar por la protección, defensa y respuesta a las ciberamenazas que

aparecen cada día. Contamos con varios equipos de expertos especializados en diferentes ámbitos de seguridad; Digital Crimes Unit (DCU), Microsoft Threat Intelligence Center (MSTIC) especializado en el seguimiento de amenazas avanzadas, Detection and Response Team (DART) especializado en Respuesta a Incidentes y un centro de operaciones, el Microsoft Cyber Defense Operation Center (CDOC)4, desde el que nuestros especialistas vigilan la actividad mundial 24x7, analizando más de 8.000 millones de señales diarias.

Foto: iStock.com/the-lightwriter

Riesgo por falta de personal cualificado en competencias digitales Es importante incidir en el riesgo que supone la falta de profesionales con competencias digitales avanzadas, como las del ámbito de la ciberseguridad. Las previsiones apuntan a que este año 2021 habrá un déficit de 3,5 millones de profesionales de la seguridad en el mundo. Desde Microsoft abogamos por el fomento de las competencias digitales5, y ponemos a disposición de todo aquel que quiera formarse, un completo itinerario formativo con cursos online gratuitos desde nuestra plataforma Microsoft Learn6. Hemos anunciado recientemente cuatro nuevas certificaciones de seguridad7, cumplimiento e identidad adaptadas a las funciones y necesidades de cada persona o entidad, independientemente del punto en el que se encuentre en su viaje de capacitación. Si hay algo que ha demostrado el comienzo de 2021 es que mantener el mundo seguro no es fácil. Los recientes ciberataques de alto nivel han puesto de manifiesto la creciente sofisticación de los actores de las amenazas y la complejidad de la gestión del riesgo empresarial en un mundo cada vez más conectado. Nuestro compromiso en Microsoft es de trabajo y aprendizaje continuo para ayudar a nuestros clientes a mitigar los riesgos a los que se exponen. La seguridad en el ciberespacio exige que gobiernos, empresas y sociedad civil trabajemos para encontrar soluciones conjuntas a los desafíos a los que nos enfrentamos. n

4 https://www.microsoft.com/en-us/msrc/cdoc 5 https://news.microsoft.com/es-es/2021/03/30/microsoft-y-linkedin-han -ayudado-a-30-millones-de-personas-en-todo-el-mundo-a-adquirir-habi lidades-digitales-durante-la-covid-19/ 6 https://docs.microsoft.com/es-es/learn/ 7 https://docs.microsoft.com/en-us/learn/certifications/browse/?resour ce_type=certification&terms=security

Actuarios

Primavera 2021 // nº 48 // TEMA DE PORTADA

La seguridad del dato en el ciberespacio: una aproximación legal Gonzalo Menéndez Margolles // Abogado del Área de Privacidad, IT y Entornos Digitales de Broseta Abogados

El derecho a la protección de datos personales Desde que en 1890 Samuel D. Warren y Louis D. Brandeis definieran la privacidad como el derecho a ser dejado solo o a no ser molestado –“the right to be let alone”–1, la humanidad ha asistido a una evolución tecnológica sin precedentes, tanto por su velocidad como por sus repercusiones e incidencia en todos los ámbitos de nuestras vidas. Una de las principales consecuencias de dicha evolución es la elevada vinculación y dependencia tecnológica que caracteriza a las sociedades desarrolladas actuales. En este contexto, alcanza una relevancia cada vez mayor la preocupación por la ciberseguridad y la amenaza que suponen los ciberataques para el normal desarrollo de las actividades económicas y sociales y, por supuesto, para nuestros derechos fundamentales, como el derecho a la privacidad o a la protección de datos personales. Así lo ha reconocido, a modo de ejemplo, la Estrategia de Seguridad Nacional española de 2017, que identifica las vulnerabilidades del ciberespacio como unas de las principales amenazas y desafíos a los que debe hacer frente nuestro país en la actualidad. Por su parte, en la Estrategia Nacional de Ciberseguridad de 2019 se afirma que “(L)as actividades que se desarrollan en el ciberespacio son fundamentales para la sociedad actual. La tecnología e infraestructuras que forman parte del ciberespacio son elementos estratégicos, transversales a todos los ámbitos de actividad, siendo la vulnerabilidad del ciberespacio uno de los principales riesgos para nuestro desarrollo como nación”. En España, ya en 1978 el constituyente fue consciente de las amenazas que podrían derivarse para nuestros derechos del desarrollo tecnológico, lo cual se tradujo en la inclusión de la previsión contenida en el artículo 18.4 de nuestra Constitución: “La ley limita-

1 WARREN, Samuel D.; BRANDEIS, Louis D. The Right to Privacy. En: Harvard Law Review, 1890. Vol. 4, n. º 5, págs. 193-220.

rá el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”. Nuestro Tribunal Constitucional declaró en su sentencia núm. 292/2000 que el precepto transcrito contiene, “un derecho o libertad fundamental, el derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegítimo del tratamiento automatizado de datos […], lo que se ha dado en llamar “libertad informática” […] derecho a controlar el uso de los mismos datos insertos en un programa informático (habeas data) y comprende, entre otros aspectos, la oposición del ciudadano a que determinados datos personales sean utilizados para fines distintos de aquel legítimo que justificó su obtención ”. De esta manera, el Tribunal Constitucional reconoció la existencia de un derecho fundamental autónomo, más amplio que la intimidad y la privacidad: el derecho a la protección de datos personales, que “atribuye a su titular un haz de facultades que consiste en su mayor parte en el poder jurídico de imponer a terceros la realización u omisión de determinados comportamientos cuya concreta regulación debe establecer la Ley, aquella que conforme al art. 18.4 CE debe limitar el uso de la informática”; y que “persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino, con el propósito de impedir su tráfico ilícito y lesivo para la dignidad y derecho del afectado […] un poder de disposición sobre esos datos”. El alcance de este derecho, el objeto de la protección que ofrece, son los datos personales, que el artículo 4.1 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, el “RGPD”), define como “toda información sobre una persona física identificada o identificable («el interesado»)”. En este sentido, tal y como también ha señalado nuestro Tribunal Constitucional en la sentencia citada, el derecho a la protección de datos alcanza a todos aquellos datos “que sean relevantes para o tengan incidencia en el ejercicio de cualesquiera derechos de la persona, sean

Actuarios

TEMA DE PORTADA // nº 48 // Primavera 2021

o no derechos constitucionales y […] no se reduce sólo a los datos íntimos de la persona, sino a cualquier tipo de dato personal, sea o no íntimo […]. Por consiguiente, también alcanza a aquellos datos personales públicos […] accesibles al conocimiento de cualquiera […]”, de tal forma que “los datos amparados son todos aquellos que identifiquen o permitan la identificación de la persona”. La seguridad de los datos personales: régimen legal Hoy en día, la práctica totalidad de los tratamientos de datos personales se llevan a cabo mediante dispositivos y sistemas informáticos, de tal forma que la adecuada protección de los mismos redunda en beneficio de la seguridad de los datos personales. Como consecuencia de lo anterior, en este apartado no sólo se hará referencia a la normativa en materia de protección de datos personales, sino también a las normas sobre seguridad de las redes y sistemas de información, toda vez que las mismas imponen determinadas obligaciones íntimamente vinculadas con la salvaguarda de dichos datos debido a la estrecha relación entre estos dos ámbitos. El RGPD y la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales El artículo 5.1 del RGPD consagra como uno de los principios esenciales de cualquier tratamiento de datos el principio de integridad y confidencialidad, de acuerdo con el cual debe garantizarse una seguridad adecuada de los datos personales para evitar su uso no autorizado o ilícito, pérdida, destrucción o daño accidental. Desarrollando dicho principio, el artículo 32 del RGPD dispone que todo aquél que lleve a cabo un tratamiento de datos personales deberá aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad de los datos adecuado al riesgo, teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, alcance, contexto y fines del tratamiento, así como los riesgos para los derechos y libertades de los interesados derivados de una eventual brecha de seguridad. No obstante, el citado Reglamento no especifica ni enumera, ni siquiera a título ilustrativo, las concretas medidas que debe adoptar quien trate datos personales. Esta indeterminación deriva de otro de los

Actuarios

principios fundamentales que inspira la regulación contenida en el RGPD, el de responsabilidad proactiva o accountability, de conformidad con el cual corresponde a la persona o entidad responsable de un tratamiento de datos personales el análisis de los riesgos a que los mismos se encuentran expuestos y la adopción las medidas que considere apropiadas para garantizar su seguridad. Sin embargo, en nuestro país, la referida indeterminación no afecta por igual a las entidades del sector privado y del sector público. Las primeras únicamente cuentan con la referencia contenida en el artículo 32.3 del RGPD, de acuerdo con el cual la adhesión a un código de conducta o a un mecanismo de certificación en materia de protección de datos podrá servir para demostrar el cumplimiento de sus obligaciones en materia de seguridad de los datos personales. Sin embargo, dicha adhesión no implica per se la satisfacción de dicha obligación, pues ello requiere un análisis caso por caso a fin de implementar las medidas que resulten idóneas en cada supuesto, que no tienen por qué coincidir con las previstas en dichos mecanismos. Por su parte, respecto de las entidades integrantes del sector público, la Disposición adicional primera de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales establece que dichas entidades deberán aplicar las medidas de seguridad que correspondan de las previstas en el Esquema Nacional de Seguridad. La Directiva NIS y su normativa de transposición Al margen de las disposiciones contenidas en el RGPD en materia de seguridad de los datos, en el marco de la Unión Europea se ha llevado a cabo un elevado número de actuaciones de diversa naturaleza relacionadas en mayor o menor medida con la ciberseguridad, tales como (i) la creación y consolidación de la Agencia de la Unión Europea para la Ciberseguridad (“ENISA”, por sus siglas en inglés); (ii) la elaboración de documentos como la Estrategia de Ciberseguridad de la Unión Europea2 y la Estrategia de la UE para una Unión de la Seguridad3; o (iii) la aprobación de normas como la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de 2 https://ec.europa.eu/digital-single-market/en/news/eus-cybersecuri ty-strategy-digital-decade. 3 https://eur-lex.europa.eu/legal-content/ES/TXT/HTML/?uri=CELE X:52020DC0605&from=EN.

Primavera 2021 // nº 48 // TEMA DE PORTADA

seguridad de las redes y sistemas de información en la Unión4 (en adelante, la “Directiva NIS”). Con el objetivo de garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, la Directiva NIS impone a todas aquellas entidades que puedan calificarse, de acuerdo a los criterios que la propia norma define, como operadores de servicios esenciales y proveedores de servicios digitales, un conjunto de obligaciones relativas a (i) las medidas de técnicas y organizativas de seguridad que deberán ser adoptadas y (ii) la notificación a la autoridad competente o al equipo de respuesta a incidentes de seguridad informática (“CSIRT”, por sus siglas en inglés) de referencia de los incidentes que tengan efectos significativos en la continuidad de los servicios que prestan5. Si bien cualquier otro agente no estará sujeto a estas obligaciones, nada impide que las utilice como criterios de referencia. La Directiva NIS ha sido transpuesta al ordenamiento español mediante Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información (en adelante, el “RDL 12/2018”), norma complementada por el Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información (en adelante, el “RD 43/2021”). De acuerdo con estas normas, los operadores de servicios esenciales y los proveedores de servicios digitales deberán adoptar las medidas técnicas y organizativas que resulten adecuadas y proporcionadas para (i) gestionar los riesgos que afecten a la seguridad de las redes y sistemas de información que utilicen para prestar sus servicios y (ii) prevenir y reducir al mínimo el impacto de eventuales incidentes. A tal fin, se ofrecen un conjunto de mecanismos que pueden servir de ayuda a tales sujetos: > Se contempla la posibilidad de que las autoridades competentes establezcan obligaciones específicas en materia de seguridad y dicten 4 El 16 de diciembre de 2020, tras una revisión de la Directiva NIS, la Comisión Europea presentó al Parlamento Europeo y al Consejo su propuesta para una nueva Directiva relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad y por la que se deroga la Directiva (UE) 2016/1148 (“Directiva NIS2”). https://eurlex.europa.eu/resource.html?uri=cellar:be0b5038-3fa8-11eb-b27b01aa75ed71a1.0012.02/DOC_1&format=PDF 5 Para más información, véase la “Guía nacional de notificación y gestión de ciberincidentes”, aprobada por el Consejo Nacional de Ciberseguridad el 21 de febrero de 2020. https://www.incibe-cert. es/sites/default/files/contenidos/guias/doc/guia_nacional_notifica cion_gestion_ciberincidentes.pdf.

instrucciones técnicas y guías orientativas para detallar el contenido de tales obligaciones. > Se insta a la utilización de normas o especificaciones técnicas elaboradas de conformidad con la normativa europea sobre normalización o aprobadas por organismos internacionales de normalización. > Por último, todos aquellos sujetos que, a consecuencia del sector en el que operen, estén sometidos a una legislación específica que establezca obligaciones de seguridad con efectos equivalentes a los perseguidos por las referidas normas, podrán acudir a las previsiones de aquélla para definir sus medidas de seguridad. A mayor abundamiento, en el caso de los operadores de servicios esenciales, el RD 43/2021 enumera los principios que deberán inspirar sus políticas de seguridad de las redes y sistemas de información, así como los aspectos mínimos que dichas políticas deberán considerar. Adicionalmente, la disposición establece que las medidas de seguridad que tales operadores están obligados a adoptar (i) tomarán como referencia las recogidas en el Esquema Nacional de Seguridad, en la medida en que las mismas resulten aplicables y (ii) estarán basadas, cuando sea posible, en otros esquemas nacionales de seguridad existentes, sin perjuicio de la posibilidad de tener en cuenta otros estándares reconocidos internacionalmente. Con ello, la norma les proporciona unos criterios que pueden servir de guía para determinar las concretas medidas de seguridad a implementar. Finalmente, el RD 43/2021 dispone expresamente que la elaboración de las políticas de seguridad deberá tener en cuenta los riesgos derivados del tratamiento de datos personales, en los términos establecidos por el RGPD, reconociendo así la intrínseca relación entre seguridad de las redes y sistemas y seguridad de los datos personales. En definitiva, la normativa a la que se ha hecho referencia pone de manifiesto que no existe una solución homogénea y universal para hacer frente a los ciberriesgos y ciberamenazas que afectan a los datos personales, sino que es necesario (i) efectuar un análisis, caso por caso, de cuáles son esos riesgos y amenazas e implementar las medidas de seguridad que se consideren más idóneas para mitigarlos; y (ii) establecer procedimientos de reevaluación periódica y mejora continua, pues la naturaleza, tipología y funcionamiento de los ciberataques evolucionan constantemente y las medidas de seguridad deben mantenerse a la altura para resultar efectivas. n

Actuarios

TEMA DE PORTADA // nº 48 // Primavera 2021

Protección de datos y ciberdelincuencia Mar España Martí // Directora de la Agencia Española de Protección de Datos

La constante evolución de las tecnologías de la información y la comunicación, y el uso intensivo que de ellas hacemos una inmensa mayoría de la población, ha cambiado el paradigma de nuestra forma de vida, haciéndola depender de los servicios que nos proporciona internet: comunicación, información, ocio, viajes, alertas y otros muchos que diariamente nos ofrecen desde el mundo online. Situación que se ha agudizado con las medidas y las consecuencias de la COVID-19. El confinamiento y el miedo al contagio han supuesto un incremento de la oferta y de la demanda de servicios online que en algunos sectores, por ejemplo, en la educación ha supuesto una auténtica revolución pasando a la enseñanza online de manera generalizada y de un día para otro; otros, como el del comercio electrónico, han experimentado un crecimiento extraordinario, y en todos ellos hay un elemento común, el tratamiento de datos, de información personal para que se puedan prestar y que impacta en nuestra privacidad. Esta nueva forma de vida, aunque instalada entre nosotros hace ya un tiempo, todavía podemos decir que es novedosa, pues a pesar de su uso aún nos estamos acostumbrando a ella, ofrece también un campo de actuación cada vez mayor para los ilícitos, administrativos o penales. Como se recoge en la Memoria de 2020 de la Fiscalía General del Estado1, y ya advertía la propia Fiscalía de Criminalidad Informática antes de la pandemia, en 2019 se ha constatado un incremento de los ciberdelitos, en especial de las estafas y las defraudaciones. Delitos que, para poder consumarse, además de perpetrase a través de las TIC, implican la utilización ilícita de datos o de información personal. En la Agencia Española de Protección de Datos venimos siendo conscientes de esta situación, en la que el tratamiento de la información personal incumpliendo la normativa sobre protección de datos es clave en la comisión de los ciberdelitos, así como de que se pueden llegar a cometer sin ser conscientes del alcance penal de dichos hechos, y por ello hemos desarrollado diversas acciones con la finalidad de proporcionar información sobre las consecuencias de estas conductas y pautas básicas para evitar ser víctima de ellas, o incluso su autor por desconocimiento. 1 https://elforodeceuta.es/wp-content/uploads/MEMORIA-FISCALIA-GENERAL-DEL-ESTADO-2020.pdf

Actuarios

Una primera iniciativa se planteó en el ámbito de los menores de edad por ser un colectivo proclive no sólo a ser víctima de ciberdelitos, con graves daños para su desarrollo y futuro como personas, sino también a cometerlos de manera inconsciente. En 2016, se publicó la guía “Sé legal en internet2” dirigida a los propios menores, y su correlato para padres y educadores ”Enséñales a ser legal en internet3”, en las que se facilitan orientaciones y pautas útiles con el fin de evitar que los menores cometan delitos, o favorezcan con su conducta la comisión por terceros, sin ser conscientes de ello, con especial atención a las situaciones de ciberacoso a otros compañeros o profesores, el sexting, o el grooming; que se complementaron con una serie de vídeos dirigidos a los menores, “Tú controlas en internet4”, que fueron distribuidos a través de la comunidad educativa y demás instituciones y agentes que trabajan con ellos. En mayo de 2018, se presentó, con la presencia de la Fiscal de Criminalidad Informática, la guía5 y fichas6 sobre “Protección de Datos y Prevención de Delitos”. La guía repasa las conductas tipificadas como delito en las que el uso de datos o información personal de manera ilícita través de internet constituye uno de sus elementos, como en los delitos de descubrimiento, revelación de secretos e integridad personal, amenazas, coacciones, acoso, calumnias e injurias, suplantación de identidad, odio, estafas: phishing, carding, o daños informáticos. En la guía se destacan determinadas conductas delictivas que causan daños y perjuicios en ocasiones irreparables, y sobre las que muchos tienen la consideración de que son inocuas, como ocurre demasiado a menudo con la difusión y reenvío de grabaciones e imágenes íntimas sin la autorización del interesado o interesada, aun cuando se hubiesen grabado con su consentimiento, o espiar el contenido del móvil de la pareja. Se presta una especial atención a aquellas conductas que implican violencia de género y que se ejerce a través de dispositivos digitales. Se dan pautas para evitar ser una víctima de ellas en relación con el equipo informático, con la navegación en internet,

2 https://www.tudecideseninternet.es/aepd/images/guias/Guia_me nores2016.pdf 3 https://www.tudecideseninternet.es/aepd/guias/ensenales-a-ser-lega les-en-internet.html 4 https://www.tudecideseninternet.es/aepd/videos/tu-controlas-eninternet.html 5 https://www.aepd.es/sites/default/files/2019-09/guia-protecciondatos-y-prevencion-de-delitos.pdf 6 https://www.aepd.es/sites/default/files/2019-09/fichas-protecciondatos-y-prevencion-de-delitos.pdf

Primavera 2021 // nº 48 // TEMA DE PORTADA

el uso del correo electrónico, la violencia de género o la información que se comparte, y se advierte de que el oversharing, o la sobrexposición de información personal en internet, en particular las imágenes, puede tener graves consecuencias sin que se llegue a ser consciente de ello. También se informa de aquellas acciones que se llevan a cabo en el mundo online sin considerar sus consecuencias y que pueden llegar a constituir un delito, y de las responsabilidades penales o administrativas que pueden implicar. A este respecto, es relevante destacar que el proyecto de Ley Orgánica de protección integral a la infancia y a la adolescencia frente a la violencia incluye por primera vez el concepto de violencia digital, además de apostar por la incorporación de nuevos delitos en el texto penal sustantivo que permitan actuar penalmente frente a determinadas conductas online contra menores de edad, como la incitación al suicidio, o a la autolesión. Con la voluntad de dar un paso más y de ofrecer una herramienta de servicio público reparadora que minimice en la medida de lo posible los daños que este tipo de hechos puede producir, sin perjuicio de su calificación como delitos por los juzgados y tribunales de justicia, el 24 de septiembre de 2019 pusimos en marcha un instrumento novedoso en los países de nuestro entorno, el Canal Prioritario7, para poder tramitar con este carácter las denuncias sobre la circulación de fotografías, vídeos, audios o información de contenido sexual, violento, de acoso, o vejatorio que causan graves daños a las personas a las que se refieren, en especial mujeres, menores y otros colectivos vulnerables, y se puedan adoptar con carácter urgente medidas cautelares encaminadas a su supresión y a poner fin a la difusión de este tipo de contenidos a través de internet. El Canal se ha creado para atender aquellas situaciones excepcionalmente delicadas que requieren la máxima prioridad para evitar desenlaces indeseados, pues para otro tipo de situaciones menos imperiosas los ciudadanos ya cuentan con los procedimientos y los medios ordinarios que la Agencia pone a su disposición. También hemos dispuesto un espacio web específico de ayuda a las mujeres supervivientes de violencia digital y de género con información, orientaciones y recursos para hacer frente a estas situaciones y evitar su continuidad8, y venimos lanzando periódicamente campañas informativas dirigidas a concienciar de los riesgos de difundir o reenviar contenidos sensibles en internet sin el permiso de las personas cuya imagen,

7 https://www.aepd.es/canalprioritario/ 8 https://www.aepd.es/es/areas-de-actuacion/recomendaciones

voz u otros datos personales aparecen en ellos, con intención expresa de hacer daño o por desconocimiento, la última el 28 del pasado enero9. En el ámbito específico del comercio electrónico, que constituye uno de los servicios de la sociedad de la información en continuo crecimiento que la pandemia ha disparado, y en el que se producen situaciones de fraude que igualmente pueden ser constitutivas de delito, la Agencia, contado con la colaboración del Instituto Nacional de Ciberseguridad (INCIBE), de la autoridad de consumo y de la Policía Nacional, publicó en 2017 una guía de “Compra segura” que incluye una serie de orientaciones y consejos para reconocer los fraudes, evitarlos y cómo actuar en el caso de ser víctima de alguno de ellos, en concreto el phishing, el carding, las ventas online falsas, las estafas a través del correo electrónico, los delitos contra la propiedad intelectual e industrial, las aplicaciones fraudulentas o de dudosa reputación y los servicios de compraventa o de venta de segunda mano. También en el ámbito de la prevención, la Agencia incluye diversos contenidos que ofrecen información y consejos para evitar ser víctimas de ciberdelitos, entre los que cabe destacar la guía de “Privacidad y seguridad en internet10” elaborada en colaboración con el INCIBE, los vídeos de ayuda a los usuarios a configurar la privacidad en los sistemas operativos, navegadores, redes sociales y apps más utilizadas, que se van a actualizar en breve plazo, quizás antes de que vean la luz estas líneas, además de disponer de un espacio específico sobre “Innovación y tecnología11“, en el que se puede acceder a contenidos sobre cómo evitar ser víctima de ciberdelincuentes (controles parentales, gestión de los riesgos, brechas de seguridad, internet y móviles, blockchain…). Por último, quisiera hacer una referencia al “Pacto Digital para la Protección de las Personas12”, lanzado por la Agencia también el 28 del pasado mes de enero, que implica un compromiso de las entidades adheridas, en estos momentos unas 100 entidades del sector privado, con la responsabilidad en el ámbito digital, incluye las obligaciones derivadas del marco normativo aplicable y un apartado sobre las distintas responsabilidades en las que se puede incurrir, por no observar la normativa de protección de datos, entre ellas la responsabilidad penal, además de la civil, administrativa incluso en el ámbito educativo. n 9 https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/ agencia-presenta-un-solo-clic-puede-arruinarte-la-vida 10 https://www.aepd.es/sites/default/files/2019-09/guia-privacidady-seguridad-en-internet.pdf 11 https://www.aepd.es/es/areas-de-actuacion/innovacion-y-tecno logia 12 https://www.aepd.es/sites/default/files/2021-01/pacto-digital.pdf

Actuarios

TEMA DE PORTADA // nº 48 // Primavera 2021

El Centro Criptológico Nacional como pilar del fortalecimiento de la ciberseguridad en España La Estrategia Nacional de Ciberseguridad es un documento en el que se plasma la necesidad de mejorar la seguridad de las TIC en España y se detallan los objetivos y medidas para cumplir con este propósito. El Centro Criptológico Nacional, Organismo adscrito al Centro Nacional de Inteligencia, es responsable de garantizar la ciberseguridad y contribuye a través de numerosas acciones e iniciativas para evitar, mitigar y restaurar los daños derivados de los riesgos del ciberespacio. Javier Candau // Jefe del Departamento de ciberseguridad del Centro Criptológico Nacional

La ciberseguridad, con el paso de los años, se ha introducido entre las prioridades de un gran número de Gobiernos, considerada ahora un asunto de seguridad nacional y eje fundamental de la sociedad y de sus sistemas económicos. Todo ello ha justificado la necesidad de disponer de estrategias de ciberseguri-

dad nacionales que, al amparo de las estrategias de seguridad, permiten enmarcar los objetivos y las medidas para alcanzar y mantener un elevado nivel de seguridad de las redes y sistemas de información de los estados. Así pues, en España se elaboró con la ayuda de diversos Organismos la Estrategia Nacional de Ciberseguridad, un documento publicado por el Boletín Oficial del Estado el 30 de abril de 2019, por medio de la Orden PCI/487/2019, de 26 de abril. Estructurada en

Figura 1: Líneas de Acción de la Estrategia Nacional de Ciberseguridad 2019

Reforzar

las capacidades ante las amenazas provenientes del ciberespacio

Garantizar

la seguridad y resiliencia de los activos estratégicos para España

y persecución de la cibercriminalidad, para garantizar seguridad ciudadana, derechos y libertades

Impulsar

la ciberseguridad de ciudadanos y empresas

Actuarios

la industria española de ciberseguridad, y generación y retención del talento

Investigación

Potenciar

Seguridad

en el ámbito internacional

Desarrollar

una cultura de ciberseguridad

Primavera 2021 // nº 48 // TEMA DE PORTADA

cinco capítulos, se presentan los principios y objetivos a cumplir en esta materia, así como un total de siete líneas de acción y las medidas para el desarrollo de cada una de estas. Uno de los Organismos que contribuyó a su elaboración fue el Centro Nacional de Inteligencia (CNI), a través de su Centro Criptológico Nacional (CCN), el cual a su vez ha venido actuando con el propósito fijado en el documento a través de sus tres principales integrantes: su Capacidad de Respuesta a incidentes de Seguridad de la Información (CCN-CERT), como gestor de los ciberataques al sector público y empresas y organizaciones de interés estratégico; el Organismo de Certificación de productos y sistemas (OC), para valorar y acreditar la capacidad de un producto para manejar información de forma segura; así como su Departamento de Productos y Tecnologías (CCNPYTEC), para la aplicación de políticas y procedimientos seguros y el empleo y promoción de productos y tecnologías de seguridad. Su contribución a la consecución de los objetivos planteados y la adopción de las medidas acordadas ha sido de vital importancia. De las siete líneas de acción

recogidas, el papel del CCN ha sido y continúa siendo especialmente relevante en lo que respecta a las líneas 1, 2 y 7 (ver Figura 1). Línea de acción 1: Reforzar las capacidades ante las amenazas provenientes del ciberespacio Una de las medidas recogidas dentro de esta línea consiste en “impulsar el desarrollo de plataformas de notificación, intercambios de información y coordinación para la mejora de la ciberseguridad sectorial”. El CCN-CERT, como CERT Gubernamental Nacional, colabora con todos los organismos públicos y empresas de interés estratégico en la detección, notificación, evaluación, respuesta, tratamiento y aprendizaje de ciberincidentes que puedan sufrir sus sistemas. Una de sus iniciativas principales para este fin fue el desarrollo, en 2008, de su Sistema de Alerta Temprana (SAT), cuyo propósito es poder prevenir un incidente o, por lo menos, detectarlo en un primer momento para reducir su impacto y alcance.

Figura 2: Sistema de Intercambio de Información de Ciberincidentes en los Sistemas de Información de las AAPP

PLATAFORMA NACIONAL Capacidad de intercambio de información sobre ciberamenazas

Capacidad de gestión de ciberincidentes

Capacidad de registro y notificación de vulnerabilidades

Capacidad de análisis de muestras

Capacidad de intercambio masivo de datos

Capacidad de comunicaciones seguras entre los actores involucrados en diferentes formatos y plataformas

Generación de estadísticas e informes agregados

Actuarios

TEMA DE PORTADA // nº 48 // Primavera 2021

El CCN-CERT actúa como Nodo de Intercambio de Información de Ciberincidentes en los Sistemas de Información de las AAPP En línea también con la medida ya mencionada, el CCN-CERT actúa como Nodo de Intercambio de Información de Ciberincidentes en los Sistemas de Información de las Administraciones Públicas, así como principal coordinador con los organismos adecuados en dicho intercambio, una misión para la cual ha desarrollado hasta el momento numerosas soluciones, siendo de especial interés para este respecto dos: LUCIA (Listado Unificado de Coordinación de Incidentes y Amenazas), una herramienta para la Gestión de Ciberincidentes y mejorar la coordinación entre el CERT Gubernamental Nacional y los distintos organismos y organizaciones con las que colabora; y REYES, cuya finalidad es agilizar la labor de análisis de ciberincidentes y compartir información de ciberamenazas (ver Figura 2). Línea de acción 2: Garantizar la seguridad y resiliencia de los activos estratégicos para España Una de las principales misiones encomendadas al CCN-CERT es la de ofrecer servicios de vigilancia, sin coste asociado, a organismos de la Administración Pública, promoviendo la creación de Centros de Operaciones de Seguridad (SOC) en los que realizar tareas de prevención, detección y vigilancia. En este sentido, su papel ha sido esencial en el desarrollo del SOC-Justicia y el SOC de la Administración General del Es-

La creación del Organismo de Certificación y del CCN-CERT ha supuesto la respuesta más importante en los últimos años para hacer frente a las ciberamenazas

Actuarios

tado (AGE) y sus organismos públicos. La creación de este último era, precisamente, mencionada como una de las medidas a adoptar para cumplir con lo expuesto en esta línea. Asimismo, este apartado exponía la necesidad de potenciar la progresiva implicación y creación de infraestructuras de ciberseguridad en las Comunidades Autónomas, las Ciudades Autónomas, las Entidades Locales y en sus organismos vinculados o dependientes. Y para dar respuesta a ello, desde el CCN se ha estado trabajando a lo largo de los últimos años en la implementación de SOC virtuales (vSOC) en las entidades locales, gracias a los cuales incrementan su visibilidad e información sobre vulnerabilidades, fallos e incidentes, así como aumentan su capacidad de despliegue, protección y actuación. Además, unas vez adscritos a los diferentes vSOC implantados, estos ayuntamientos y diputaciones pasan a formar parte de la comunidad de referencia del CCN-CERT, basada en la cooperación con terceras entidades y organismos, a los que ofrece su colaboración para contrarrestar y mitigar las ciberamenazas. Esta cooperación tiene un valor fundamental, pues promueve el intercambio de información sobre incidentes, lo cual permite mejorar y agilizar la detección y actuación frente a posibles ataques. Otra de las medidas en la mencionada línea consiste en “desarrollar catálogos de productos y servicios cualificados y certificados, para su empleo en los procesos de contratación del sector público y de los servicios esenciales”. En este sentido, cabe mencionar que la evaluación y certificación de un producto o servicio de seguridad TIC es una responsabilidad asignada al CCN. Por ello, el Organismo dispone de la guía CCN-STIC 105 Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la Información y la Comunicación (CPSTIC), un documento que lleva elaborando y actualizando de forma periódica desde hace años, con la finalidad de ofrecer a los organismos de la Administración un conjunto de productos o servicios STIC de referencia y que han sido certificadas. Por otro lado, en 2006 nacía, con el objetivo de cumplir con una de las principales responsabilidades asignadas al CCN en el mencionado RD, un organismo que ha sido clave en la valoración y acreditación de la capacidad de un producto para manejar información de forma segura: el Organismo de Certificación (OC) de la seguridad de los productos y sistemas. Su creación, así como la del CCN-CERT ha supuesto la respuesta más importante en los últimos años para afrontar las ciberamenazas.

Primavera 2021 // nº 48 // TEMA DE PORTADA

Línea de acción 7 – Desarrollar una cultura de ciberseguridad El objetivo marcado en esta línea se debe a que muchas de las medidas de protección frente a la rápida evolución de las amenazas dependen de los propios usuarios, quienes a pesar de haber sabido integrar las tecnologías en su día a día, desconocen los riesgos asociados a estas. Para que esta realidad cambie, el CCN-CERT ha llevado a cabo desde sus orígenes numerosas acciones de sensibilización y divulgación de buenas prácticas, para lo cual ha sido clave tener una importante presencia en Internet, medio cada vez más utilizado para informarse. Por este motivo, el CCN, a través del CCN-CERT, decidió hace años crear un perfil de usuario en las redes sociales LinkedIn, Twitter, YouTube y Telegram, canales que, a día de hoy, suponen uno de los principales medios a través de los cuales el CCN-CERT comunica sus actividades, con un público de más de 22.500 seguidores en LinkedIn y más de 21.500 en Twitter. Siguiendo esta misma línea, el departamento puso en marcha en 2017 la Plataforma de desafíos Atenea, donde los usuarios pueden demostrar sus conocimientos y destrezas resolviendo retos de distinta dificultad y diversas temáticas. Ante el éxito de acogida que tuvo, en 2018 se lanzó una nueva plataforma con un nivel más básico para fomentar

el conocimiento entre usuarios menos entendidos: Atenea Escuela. Por último, una de las más recientes iniciativas puestas en marcha por parte del CCN para educar y formar en ciberseguridad ha sido la creación de ÁNGELES, un portal con numerosos recursos destinados a incrementar los conocimientos en esta materia. Cabe destacar su sección de Ciberconsejos, donde se recopilan recomendaciones para evitar las ciberamenazas, luchar contra la desinformación, así como hacer un uso seguro de las redes sociales y las tecnologías.

El Centro Criptológico Nacional dispone de numerosos recursos para que la sociedad en su conjunto aprenda a hacer un uso seguro de las TIC Todas estas iniciativas contribuyen a que nuestra sociedad alcance y mantenga los conocimientos, habilidades y capacidades profesionales, pues solo así, como señala la Estrategia, “se podrá responder a los grandes retos de la ciberseguridad”. n

PARA SABER MÁS • Centro Criptológico Nacional: https://www.ccn.

cni.es/index.php/es/ • CCN-CERT: https://www.ccn-cert.cni.es/ • CCN-PYTEC: https://www.ccn.cni.es/index.php /es/menu-pytec-es • Organismo de Certificación (OC): https:// www.ccn.cni.es/index.php/es/menu-organismo-de-certificacion-es • Sistema de Alerta Temprana (SAT): https:// www.ccn-cert.cni.es/gestion-de-incidentes/sistema-de-alerta-temprana-sat.html2 • LUCIA: https://www.ccn-cert.cni.es/solucionesseguridad/lucia.html • REYES: https://www.ccn-cert.cni.es/solucionesseguridad/reyes.html

• SOC Virtuales (vSOC): https://www.ccn.cni.es/

index.php/es/ccn-cert-menu-es/virtual-soc • Real Decreto 421/2004, de 12 de marzo:

https://www.boe.es/buscar/doc.php?id=BOE-A-2004-5051 • CCN-STIC 105 Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la Información y la Comunicación (CPSTIC): https://www.ccn-cert. cni.es/pdf/guias/series-ccn-stic/guias-de-acceso-publico-ccn-stic/2536-ccn-stic-105-catalogo-de-productos-de-seguridad-de-las-tecnologias-de-la-informacion-y-la-comunicacion/file.html • ATENEA: https://atenea.ccn-cert.cni.es/ • ÁNGELES: https://angeles.ccn-cert.cni.es/index.php/es/ciberconsejos/amenazas

Actuarios

TEMA DE PORTADA // nº 48 // Primavera 2021

Ciberriesgos, procedencia y dificultades en la investigación policial José Durán Martín // Teniente coronel de la Guardia Civil

La Guardia Civil en el ciberespacio La Guardia Civil, junto al resto de fuerzas y cuerpos de seguridad, tiene la misión de proteger el libre ejercicio de nuestros derechos y garantizar la seguridad ciudadana. Y, aunque con distintas formulaciones, ha estado llevando a cabo esta misión desde los tiempos de su fundación en 1844. Al principio únicamente por tierra, pero a medida que la Institución fue creciendo en entidad, funciones y competencias, se vio avocada a hacer uso también del medio aéreo y marítimo. Y, como no podía ser de otra manera, a mediados de la década de los 90, la Guardia Civil creó el entonces llamado Grupo de Delitos Informáticos para atender a la todavía incipiente demanda de los ciudadanos.

La Guardia Civil también ha evolucionado, creciendo y adaptándose a las nuevas circunstancias, lo que le ha llevado a dotarse con Unidades muy especializadas dedicadas a amenazas como el hacktivismo o ciberterrorismo

Casi un cuarto de siglo después, Internet ha sufrido una tremenda transformación, y con ella, ha transformado las comunicaciones, los negocios, las relaciones personales, el ocio, en definitiva, el mundo. Y lo ha hecho hasta el punto de que podemos afirmar que se ha creado una nueva dimensión de la realidad, una dimensión en la que vivimos gran parte de nuestras vidas, que denominamos ciberespacio y que, como explicaremos más adelante, no está en absoluto exenta de amenazas y riesgos para ciudadanos, empresas e instituciones. La Guardia Civil también ha evolucionado, creciendo y adaptándose a las nuevas circunstancias, lo que

Actuarios

le ha llevado a dotarse con Unidades muy especializadas dedicadas a amenazas como el hacktivismo o ciberterrorismo. Además, en el ámbito de la lucha contra la ciberdelincuencia, la pequeña unidad creada en 1996 se ha convertido en una de las unidades más reconocibles y mediáticas de la Guardia Civil, el Departamento de Delitos Telemáticos de la Unidad Central Operativa. Además, contamos con un Grupo de Delitos Tecnológicos dentro de la Unidad Técnica de Policía Judicial, nuestra Unidad de Inteligencia Criminal, y con un importante y avanzado Laboratorio de Informática Forense encuadrado en el Servicio de Criminalística de la Guardia Civil. Adicionalmente, contamos con especialistas en investigación tecnológica desplegados por todo el territorio nacional, los denominados EDITEs, que suponen un primer escalón de proximidad para el ciudadano. Al margen de estas capacidades, todas dedicadas a la lucha contra el cibercrimen, la Guardia Civil también se ha visto en la necesidad de proteger sus sistemas e infraestructuras informáticas. Recordemos que la Guardia Civil es una institución que cuenta con unos 80.000 efectivos y más de 2.000 instalaciones desplegadas por todo el territorio nacional. Esto supone una tremenda superficie de exposición que, unido al hecho de que la información que se gestiona, sobre terrorismo, crimen organizado, sobre nuestros ciudadanos… es ciertamente muy sensible, hace que la securización de los sistemas utilizados sea de vital importancia. En este aspecto, la unidad competente es la Jefatura de Servicios Técnicos. El último actor, dentro de la Guardia Civil, en incorporarse a todo este abanico de recursos dedicados de una manera u otra a la ciberseguridad ha sido la Unidad de Coordinación de Ciberseguridad. Creada formalmente en 2019 y puesta en marcha a principios del 2020, tiene entre sus funciones las de servir de Punto de Contacto institucional de la Guardia Civil para la interlocución en materia de ciberseguridad, así como la definición de criterios de coordinación y optimización del potencial disponible para hacer frente a las ciberamenazas, impulsando la actuación coordinada de las distintas unidades con competencias en ciberseguridad. Obviamente, existe una demanda creciente en la ciudadanía, empresas e instituciones que empujado a

Primavera 2021 // nº 48 // TEMA DE PORTADA

la Guardia Civil a crecer en capacidades. Sin embargo, es preciso señalar también la existencia de referencias a nivel estratégico, como la Estrategia de Seguridad Nacional (2017) y, sobre todo, la Estrategia Nacional de Ciberseguridad de 2019 y el Plan Estratégico contra la Cibercriminalidad del Ministerio del Interior aprobado durante el presente mes de marzo. Todas estas directrices estratégicas, impulsan a la Institución a luchar contra todas las formas de criminalidad en Internet manteniendo actualizadas sus capacidades y adaptándose a la evolución de las distintas amenazas. También suponen que la Guardia Civil contribuya a la difusión de la Cultura de ciberseguridad, cuestión que sin duda se lleva haciendo muchos años y en diversos frentes, pero que ahora se pretende relanzar desde la Unidad de Coordinación de Ciberseguridad mediante el establecimiento de un plan concreto a tal efecto. Ciberamenazas Volviendo a los riesgos existentes en el ciberespacio, y entendiendo estos como la probabilidad materialización de una determinada ciberamenaza, causando pérdidas o daños, mencionaremos a continuación algunas de las ciberamenazas que más preocupan a las agencias policiales de todo el mundo. En primer lugar, tenemos el fenómeno del ransomware, que hace años que se mantiene como la amenaza más prevalente y dañina desde el punto de vista económico. Como aspecto novedoso se puede indicar que se observa cómo los ataques ya no son totalmente indiscriminados, sino que se realizan de manera cada vez más dirigida a empresas y entidades, tanto del sector público como privado. Otro de los ciberataques que más pérdidas está produciendo a las empresas es el denominado BEC (Business Email Compromise) que, aunque puede tomar muy diversas formas, básicamente consiste en engañar a un empleado para que realice un pago de una factura falsa a una cuenta bancaria controlada por los cibercriminales. En ocasiones se trata de simples engaños, “ingeniería social” sencilla que, por un motivo u otro, llega a funcionar. Pero también podemos encontrar ataques muy sofisticados desde el punto de vista técnico y que implican intrusiones en los sistemas de la empresa atacada o sus proveedores. Las fugas de información son otro de los incidentes de ciberseguridad más frecuentes. Aquí la casuística es también muy variada y encontramos desde ataques relativamente sencillos hasta otros llevados a cabo por grupos vinculados a actores estatales. Lo que sí pode-

mos afirmar es cualquier tipo de información puede ser de interés. No pensemos que los cibercriminales únicamente buscan credenciales de acceso a banca online, o datos de medios de pago. Muy al contrario, los criminales tratan de sacar partido a todo tipo de información, y otros datos personales, que pueden no ser directamente “monetizables”, pueden llegar a tener un valor potencial incluso mayor al permitirles extorsionar a empresas, o realizar gracias a esa información ataques más complejos como los BEC antes mencionados. Otro aspecto a valorar con respecto a este tipo de ataques son las consecuencias legales e importantes multas que pueden imponerse en determinadas circunstancias. Otro aspecto que lleva años cobrando relevancia creciente son los ataques a la cadena de suministro que, precisamente son el origen de muchas de las fugas de información de las que acabamos de hablar. Y es que se observa una tendencia creciente en el uso de clientes, proveedores y partners como una forma de atacar un objetivo que, a priori, puede estar mejor protegido. Todos los negocios forman parte de una cadena y, aunque resulte obvia la afirmación, esta es tan fuerte como el más débil de sus eslabones. Por último, y, aunque no se trata de un ciberataque propiamente dicho, los ataques de desinformación o fake news sí que pueden llegar a ser una amenaza para nuestras empresas y, obviamente, se trata de una amenaza que se propaga por el ciberespacio. La solución en estos casos pasa por la concienciación, prevención, y gestión de la comunicación, más que por medidas de ciberseguridad propiamente dichas. Retos para las investigaciones policiales ¿Qué podemos hacer al respecto de todas estas amenazas? Pues desde el punto de vista policial la respuesta es obvia: investigar, como con cualquier otro delito. Sin embargo, las investigaciones tecnológicas tienen una serie de dificultades añadidas o peculiaridades que precisamente derivan de la propia naturaleza de las conductas que se investigan. Aunque el objetivo de una investigación policial es siempre el mismo (identificar autor de un delito y obtener pruebas de su comisión), las investigaciones tecnológicas normalmente van a afectar a procesos de comunicación, que están especialmente protegidos en la mayoría de los ordenamientos jurídicos y, desde luego, en el nuestro. Además, las técnicas de investigación tradicionales resultan insuficientes, siendo necesario utilizar y aprovechar la potencialidad de las herramientas tecnológicas que,

Actuarios

TEMA DE PORTADA // nº 48 // Primavera 2021

Foto: iStock.com/peshkov

además, van a tener que ser utilizadas por personal altamente especializado. Estos factores van a condicionar y, en cierto sentido, a dificultar las investigaciones. Por un lado, nos vamos a encontrar una serie de dificultades relacionadas con la imposibilidad por parte de los investigadores de acceder a información necesaria para la investigación. > E n primer lugar, tenemos los proveedores de servicios de comunicaciones vía IP, que actúan con independencia de la red de telecomunicaciones que les da soporte. Servicios como WhatsApp, Telegram, etc. son usados para mensajería, llamadas de voz, videollamadas, etc. Estos servicios, no están normalmente sujetos a la normativa de interceptación de comunicaciones, ni tampoco a la de Conservación de Datos, con lo que el acceso a dichas comunicaciones resulta muy complejo para los investigadores. > Precisamente, las diferencias entre los distintos regímenes de Conservación de datos y, en ocasiones, la inexistencia de estos, también supone un gran reto para los investigadores. Sin embargo, este tipo de información que, recordemos, no incluye el contenido de la comunicación sino sólo datos asociados a dicha

Actuarios

comunicación, ha demostrado ser útil en casos tan complejos como el caso de Diana Quer. > La creciente implementación de tecnologías de cifrado por defecto en todo tipo de dispositivos y comunicaciones supone también un hándicap. Aunque el cifrado tiene un evidente efecto positivo en el ámbito de la ciberseguridad, es también innegable que dificulta extremadamente algunas técnicas de investigación como la interceptación de comunicaciones o el análisis forense de dispositivos electrónicos, fundamentales para la investigación criminal. > También el uso de criptomonedas y otros servicios asociados que incrementan el anonimato y actúan a modo de cortafuegos, impiden a los investigadores seguir el flujo del dinero, y complican significativamente la recuperación de activos y las actividades de prevención de blanqueo de capitales y de transacciones fraudulentas. > Por último, también en este grupo de dificultadas relacionadas con la incapacidad de los investigadores de tener acceso a información relevante para sus investigaciones, quiero mencionar la elevada “cifra negra” existente. Es decir, delitos que no son denunciados y que, por tanto, no existen a efectos de investigación policial. Es necesario realizar, y se está haciendo

Primavera 2021 // nº 48 // TEMA DE PORTADA

desde Guardia Civil, una labor de concienciación en este sentido, ya que cuanta más información tengamos, mayores serán las posibilidades de éxito de la investigación. También nos encontramos toda una serie de problemas relacionados con la determinación de una ubicación de interés para la investigación, ya sea la ubicación física del ciberdelincuente, de la infraestructura tecnológica usada en la actividad criminal, de las pruebas electrónicas, e incluso en ocasiones, como en el caso de algunos delitos sexuales contra menores, de las víctimas. En estas situaciones normalmente no está claro qué país tiene jurisdicción para investigar, obtener evidencias ni perseguir judicialmente a los cibercriminales, lo cuál puede suponer un grave perjuicio para la investigación. > A sí, por ejemplo, nos encontramos que existen tecnologías como blockchain, usada en el ámbito de las criptomonedas, que están basadas en sistemas distribuidos, y que carecen de autoridad central a la que dirigirnos para, por ejemplo, bloquear una determinada cuenta o transacción y/o solicitar información sobre los intervinientes. > Por otro las tecnologías de anonimización como VPNs, y Darknets como Tor, I2P, etc. que ofrecen anonimato a sus usuarios, e imposibilitan o dificultan la determinación de la ubicación física de la máquina que están usando, permiten la proliferación de mercados y servicios criminales. > Incluso el, hoy generalizado, uso de servicios y almacenamiento en la nube, que hace que la información pueda encontrarse simultáneamente, o de forma fragmentada, en diferentes jurisdicciones, también plantea problemas a la hora de determinar qué jurisdicción es la competente para acceder a datos relevantes para las investigaciones. Finalmente es necesario recordar que la mayoría de las investigaciones tecnológicas cruzan las fronteras de un país y hacen necesaria la utilización de mecanismos de cooperación internacional que se ven dificultados por las diferencias entre los distintos marcos normativos nacionales. > E stas diferencias, que suelen responder a una transposición incompleta de instrumentos de cooperación internacional, se dan principalmente en cuanto a: conductas criminalizadas en sus respectivos códigos penales y/o medidas de investigación previstas en sus leyes procesales.

> T ampoco existe en la actualidad un marco que permita el intercambio o remisión rápida de evidencias digitales, como si ocurre con la preservación rápida (arts. 16 y 17 Convenio Budapest). En la práctica, los tiempos de los procedimientos de Asistencia Jurídica Mutua en materia penal pueden llegar a poner en peligro la eficacia de las investigaciones. > Resulta igualmente necesario reconocer que nos resulta imposible legislar al ritmo que marcan los avances en tecnología y el uso criminal de éstos. La justicia siempre ha corrido detrás de los delincuentes, pero en la actualidad se podría afirmar que la distancia entre unos y otros va en aumento y resulta difícil de reducir. > Finalmente, otra deficiencia comúnmente observada en muchos países es la falta de regulación específica sobre las investigaciones online que, sin duda, dificulta la colaboración policial internacional y pone en peligro el buen fin de las investigaciones.

La mayoría de las investigaciones tecnológicas cruzan las fronteras de un país y hacen necesaria la utilización de mecanismos de cooperación internacional que se ven dificultados por las diferencias entre los distintos marcos normativos nacionales Por fortuna podemos decir que, desde 2015, España cuenta con una moderna regulación que, al menos en parte, nos ofrece los instrumentos jurídicos necesarios para enfrentarnos a muchos de los retos y problemas mencionados. Así, la Ley orgánica 13/2015 viene a regular aspectos tales como la figura del agente encubierto online, el registro de dispositivos electrónicos y su posible extensión a terceros sistemas legalmente accesibles desde el dispositivo registrado, el registro remoto de dispositivos… y muchas otras medidas de investigación tecnológica que, ofreciendo los máximos estándares en cuanto a garantías para los ciudadanos, ofrecen soluciones legales para que los investigadores puedan hacer su trabajo. n

Actuarios

TEMA DE PORTADA // nº 48 // Primavera 2021

Cyberspace in the current security environment Diego James Cano Prentice // MSc in Security Studies. Defence.

Cyber is a newcomer to humankind’s long history of warfare, yet most countries have been quick to recognise it militarily. Cyber appears in several military strategic concepts, it is considered as a domain of operations by NATO and the U.S., and several countries have created a dedicated cyber combatant command. This essay sets out to offer a brief account of cyberspace’s evolution, significance and direction in political-military thought. In 2008, an infected flash drive inserted into a U.S. military laptop in the Middle East led to what a top Pentagon official described as “the most significant breach of U.S. military computers ever” (NY Times, Military Computer Attack Confirmed, Aug 25th 2010). The cyberattack compromised the U.S. Department of Defense’s unclassified and classified networks, prompting the Pentagon to lead a counterattack, Operation Buckshot Yankee, which would ultimately lead to the creation of Cyber Command in 2010. The Command now consists of over 6,000 people located at the headquarters at Fort Meade in Maryland and across bases in Georgia, Hawaii and Texas.

Nowadays, cyber is a crucial element of most operations, across any geographical domain, and not simply as an enabler, but as a battleground of its own At NATO, cyber was first discussed at the political level in the 2002 Prague Summit. Allied leaders furthered their commitment to protecting their cyberspace at the Rita Summit in 2006, and recognised cyberspace as a domain at the 2016 NATO Summit in Warsaw. The significance of this decision can hardly be overstated: cyberspace was consolidated as a domain of operations of equal

Actuarios

importance to the traditional air, land, and sea domains, formally becoming part of the Alliance’s core task of collective defence, and Allies confirmed that international law applies in cyberspace. Concurrently, Allies made a Cyber Defence Pledge, which placed a priority on enhancing their cyber defences of national infrastructures and networks. Since then, NATO allies have not only strengthened their defences, but also reinforced their capabilities for cyber education, training and exercises. The cyberspace domain has thus been recognised by several nations to be as significant as the traditional domains of operation. These domains, after all, share the same essential objective, to enable freedom of action to create desired military effects and deny adversaries such freedom of action. Nevertheless, as retired U.S. Air Force four-star General Larry D. Welch highlights in his essay “Cyberspace: the fifth operational domain”, cyber is fundamentally distinct from the traditional domains (as well as the newly recognised space domain) in two regards. Firstly, cyberspace is manmade, and can be constantly changed. Secondly, “cyberspace is embedded in all domains, and operation in all domains is dependent on operation in cyberspace” (Welch, 2011, p.3). Admittedly, one could push back on this characteristic being unique to cyber. After all, traditional domains of operation do relate to and rely on each other in several ways. Multi-domain operations such as anti-submarine warfare (involving ships and aircraft) are commonplace. Arguably, much of traditional warfare, such as army air defence and naval aviation, cannot be effectively carried out in a single domain. Nevertheless, as Welch argues, whereas land, sea, air and space relate to each other in a geophysical hierarchy (land is surrounded by sea, land and sea are surrounded by air, and land, sea and air are surrounded by space) cyber cuts through all domains. Nowadays, cyber is a crucial element of most operations, across any geographical domain, and not simply as an enabler, but as a battleground of its own. Consequently, cyberspace is uniquely interconnected with other domains, meaning that successful cyberspace operations are a precondition for success in most operations. So what is the current and near-future state of cyber in political-military thought? NATO’s Supreme

Primavera 2021 // nº 48 // TEMA DE PORTADA

Foto: iStock.com/metamorworks

Headquarters Allied Powers Europe (SHAPE) has recently established the Cyberspace Operations Centre (CyOC) from which Alliance operational planning and situational awareness is conducted. Allies have also made doctrinal progress, approving the Military Vision and Strategy on Cyberspace as a Domain of Operations and the Allied Joint Doctrine for Cyberspace Operations (AJP 3.20). At the 2018 Brussels Summit, Allies announced that they had integrated sovereign allied effects, so that they could be jointly utilised in Alliance operations and missions (although NATO remains a defensive alliance). Likewise, the U.S. Cyber Command has undergone significant progress from its conception 11 years ago, but it has also recently seen a development in posture. Its Commander, four- star General Paul M. Nakasone, recently published an article in Foreign Affairs where he delineates this evolution, from “a reactive, defensive posture to a more effective, proactive posture called persistent engagement” (Foreign Affairs, August 25th 2020). This posture change sees the command take a more proactive approach to securing the military’s networks, prompted by adversary’s attacks becoming more “frequent, sophisticated, and severe”. Nakasone stresses the importance of operating outside of U.S. networks, together with allies and partners. For example, U.S. Cyber Command worked with Montenegro in 2019 to investigate signs of hacker penetration in Montenegrin government networks.

This essay will not attempt to make any conjectures about the potentially dramatic evolution of cyber in the future security environment due to emerging and disruptive technologies and our increased connectedness. Nevertheless, it is clear that cyber has been playing an increasingly central role in military preparedness across the globe, and will continue to do so in the years to come. n

FURTHER READING • NATO, Warsaw Summit Communiqué, Issued by the Heads of State and Government participating in the meeting of the North Atlantic Council in Warsaw 8-9 July 2016, available at nato.int. • NATO, Allied Joint Doctrine for Cyberspace Operations (AJP 3.20). • Nakasone, P. and Sulmeyer, M. “How to Compete in Cyberspace”, Foreign Affairs, August 25 2020. • Welch, L. 2011, Cyberspace, the Fifth Operational Domain, Institute for Defense Analyses.

Actuarios

TEMA DE PORTADA // nº 48 // Primavera 2021

Principle Ethical Hacking & Considerations John Jackson

Ethical hacking is a phrase that is tossed around as a key descriptor to define a hacker that operates with good intention, or in other words, does the “right” thing. The issue with the phrase “Ethical Hacker”, is the representation of what ethical versus unethical really is. The philosophical field of ethics is complex and sometimes perception is not always the reality. In addition, someone’s selfassigned ethics can be conflicting and biased. A lot of the issues within hacking culture are resultant of intention, and various restrictions on all ends of the hacking spectrum - especially as it pertains to the acquisition of knowledge. When society thinks of the phrase ethical hacker, they imagine a hacker who does the right thing. In fact, non-technical individuals typically struggle to define what it means to be an ethical hacker. Over the years, there have been many internal fights, in an attempt to redefine what qualifies a hacker. Nonetheless, the matter isn’t what qualifies a hacker, but what a hacker’s intention looks like in relation to the vulnerabilities exploited. The primary issue with the phrase ethical hacker is that it’s nearly impossible to come to an adequate conclusion on ethics within the confines of the law. In short - the justice system isn’t concerned with moral and immoral, the enforcers of the law are concerned with whether an act is against the law or not. The constraints placed by the law actually make it harder for a hacker to be considered ethical and even the ones that are considered as such sometimes are not, at least in the eyes of the prosecutors. Imagine the following instance: A security researcher is hacking different domains within the legal limits of a vulnerability disclosure or bug bounty program. During their research on the company, they discover a zeroday vulnerability that impacts multiple companies. When they report the vulnerability to the program, they are told strictly not to disclose the zero-day to the public until the vulnerability is patched or after 90-days passes. In some instances, holding onto the vulnerability for disclosure rather than immediately disclosing it can do more harm than good. Every situation varies, thus the intensity and progression

Actuarios

of some form of escalation on the reporting and resolution process can quickly become hazy. In the perfect world, the program that the hacker reported to can manage and coordinate the zero-day efforts, in an instance where it’s the enterprise’s product - not disclosing for 90-days may be reasonable. People remain self interested, and a company may be more concerned with bad publicity than with the disclosure of a zero-day vulnerability. For example, if the zero-day were to be on a thirdparty vendor’s product, the company the vulnerability is reported to has no control of the vendor’s clients. It would do more harm than good to refrain from disclosing the vulnerability as the researcher is only protecting the company that they reported it to while thousands of other companies remain vulnerable. Would it be more ethical to stay within the nondisclosure regulations from the company and help them, or to help thousands of other companies? Hacking has ironic utilitarian undertones, especially when the ethical space is analyzed. Unfortunately, again, the law/policy isn’t concerned with morality therefore “unethical” if disobeyed, by definition. The hacker in a circumstance described as such would probably want to obtain a CVE ID and disclose - but one of the major issues with VDPs and Bug Bounty Program are restrictions that make sense for regular vulnerabilities, but work against the general public and “ethical” hackers in scenarios as described. If the company that the hacker reports the zero-day vulnerability to works with the vendor, the situation can be coordinated far cleaner - however that’s not always the case and restrictions may work against the actual ethics of disclosing a vulnerability. What about a hacktivist that operates as a Blackhat? Per hacking definitions, a Blackhat is considered “unethical” hardly ever doing the “right” thing. The true question is: in what sense? In both a legal and moral sense, the answer is, “sometimes not always”. Complexities surrounding the ethics of hacking make security research and accountability exceedingly difficult, and the words are tossed around in a hurtful way that can actually destroy the goals that security research and hacktivism set out to create. As an example that coincides, imagine if a Blackhat without permission were to find a SQL

Primavera 2021 // nº 48 // TEMA DE PORTADA

Injection vulnerability on an application hosted on a private-server containing evidence of human trafficking. If the Blackhat exposes this to the public, they are admitting to breaking the law by attacking the server, and could be punished for it. As far as the government is concerned, they are acting unethically and stepping outside of the bounds of what they have permission to hack. Situations like this are difficult to comprehend because any moral individual that evaluates the ethics of their actions would deem this is being ethical and a service to society. The law doesn’t care about the ethics of actions, and this vigilante type of action could result in prosecution. The two examples from the analysis of a “Whitehat” and a “Blackhat” have one thing in common: hackers are constantly battling with questions of what the most ethical or responsible approach is, for both society and involved parties. A Blackhat may consider it ethical and virtuous to dump a database full of PII belonging to known-child abusers, whereas a Whitehat will likely avoid testing the server of something that they don’t have access to. For adequate comparison, a Greyhat might hack the server and submit the vulnerability to a federal agency anonymously or furnish this information to less “ethical” parties depending on the circumstance. The problem with all of the different ethical determinations of hackers has an end result of restricted knowledge. As an example, the Information Security community doesn’t like Blackhats. Tension creates unnecessary avoidance and problems because a lot of Whitehats also work in Information Security full time and many in the community may shun them for any sort of participation in research with hackers that are not deemed fully “ethical”. On the inverse, a similar problem exists with Blackhats. A lot of blackhat culture revolves around psychological operations, personal rivalries tied to years of history, and no-restriction release of hacks/vulnerabilities. White or Greyhats that want to stay within the legal limits of the law, or even ensure that they may work in the Information Security field, will have to pick and choose what to avoid from both a hacking and historical-involvement based perspective. After all, an employer doesn’t want to manage an employee who drops illegal hacks or gets involved with “malicious” groups, no matter how ethical of a cause society deems it to be. The bottom line: knowledge for hackers that want to learn a wide range of skill sets is restricted because the Information Security community will shun someone with “questionable” associates and the Blackhat community is allergic to

hackers that they deem as being “afraid to hack”, AKA “afraid to release vulnerabilities illegally”. The knowledge gaps persist when another aspect is brought into question, which is the methodology that hackers use. In the ethical community, there’s a lot of gatekeeping of hacking tools, technologies, and exploitation expertise. In the “unethical” communities, the opposite exists - they are willing to share tools and methodology for organized goals. Such a concept exists because the ethical space is riddled with hackers who are concerned with making money from bug bounty programs, and the less their competitors know, the better. In addition, Blackhats typically have more access to realistic knowledge because they are not binded by an operational program scope like Whitehats are. These various issues make it difficult for both communities to coexist, and in turn, makes it harder for legitimate enterprises to receive better defense guidance. Ethics in the hacking space and what defines an “Ethical Hacker” are controversial and will likely be argued until the end of time. Nonetheless, society as a whole, especially the Information Security community, needs to push for the abolishment of the CFAA [Computer Fraud Abuse Act] which is the law in place that prevents hackers from carrying out hacks on systems that they do not have access to or permission to test. Realistically, the establishment of the CFAA only works against security researchers that are hacking with good intention in mind. If a Whitehat or considerably ethical hacker were to stumble upon a major vulnerability, the CFAA strikes fear into the minds of many and the vulnerability may never be responsibly disclosed to the affected party. Punishment for crimes that relate to hacking should be redefined as laws that work off of the intention of a hacker. For example, hacking an enterprise and stealing money should obviously be considered crime, whereas hacking an enterprise and submitting the vulnerability to a company without leaking the vulnerability to the public should not be considered criminal behavior. If the CFAA were to be abolished, society could do away with the terms Blackhat, Whitehat & Greyhat and could focus on instances of hacking being considered criminal or not. Intention is everything in the hacking community and the only way we can fix the major legal ramifications and fear within the community is to unify all hats and focus on punishing actual criminal behavior such as theft, doxxing, fraud, or actions in which hackers become criminals for their own gain, psychologically and physically. n

Actuarios

TEMA DE PORTADA // nº 48 // Primavera 2021

El derecho penal frente a los riesgos de internet: el ciberdelito Pilar Otero // Catedrática de Derecho Penal de la UC3M

Estamos inmersos en una vertiginosa sociedad tecnológica, que, por un lado, ha transformado radicalmente nuestra vida invadiendo casi todas las facetas de la actividad humana, y, por otro, lleva implícita una sociedad de riesgo. El lado oscuro de este desarrollo tecnológico tiene, así, entre otras, las siguientes manifestaciones: 1. Nuevas formas de criminalidad (hacking o acceso ilegal a un sistema de información; phishing o estafa informática; child grooming o ciberacoso a menores; cracking o daños informáticos; denial of service u obstaculización de un sistema de información). 2. La utilización de las redes informáticas para la comisión de los delitos tradicionales (fraudes, acoso, injurias, amenazas, espionaje industrial, pornografía infantil, etc.). Por tanto, podemos hablar de ciberdelito tanto en relación con aquellos delitos cuyo único medio de comisión es la red, esto es, el hacking o el sabotaje informático, como aquellos otros clásicos, que utilizan las redes telemáticas como instrumento. 3. Distribución del delito a una velocidad de vértigo y a un número ilimitado de usuarios (la marco-victimización generada, por ejemplo, por los virus informáticos). 4. Transnacionalidad de los delitos lo que dificulta su persecución, pues es consustancial a Internet la ausencia de fronteras. 5. Problemas de incriminación a las personas físicas o jurídicas que prestan servicios en la Red (los proveedores de servicios) por no haber retirado los contenidos delictivos. 6. Diferencias de lugar y tiempo entre la acción y el resultado del delito, lo que puede plantear problemas de participación en el delito y de prescripción. 7. Vulnerabilidad del sistema a medida que se va haciendo más complejo. Todo ello podría resumirse en una idea: Internet favorece el anonimato. Aunque se intente paliar esta consecuencia al ser cada vez más sencilla la identifica-

Actuarios

ción de las direcciones IP, y pese a los rastros digitales del delito, lo cierto es que sigue siendo en la actualidad más compleja la identificación de los autores de estas conductas en el medio virtual que la de los sujetos que cometen infracciones similares en el mundo real. La percepción del anonimato implica inevitablemente la sensación de impunidad y, como consecuencia de ella, la reiteración del delito. El ciberespacio se convierte así en un paraíso para la criminalidad y en una plataforma para la criminalidad organizada. Por otro lado, Internet es el vehículo por el que circula la mayor parte de dinero en el mundo, en consecuencia, la cibercriminalidad tiene principalmente una finalidad económica. Es decir, cualquier ciberdelito, aunque afecte de modo inmediato a otros bienes jurídicos, como la intimidad o la seguridad de los sistemas de información, lesiona finalmente el patrimonio. No se nos escapa, a este respecto, que el delito de pornografía infantil, que vulnera la indemnidad sexual de los menores, mueve en el mundo (teniendo en cuenta la cifra negra que envuelve a todo delito) la escalofriante cifra de 1.000 millones de euros mensuales. ¿Cómo se enfrenta el Derecho penal a estos desafíos? El Derecho, en general, va a remolque de las nuevas tecnologías de la comunicación y la información. En el ámbito que nos atañe, ha motivado dos importantes consecuencias: En primer lugar, un Derecho penal desorientado, que se manifiesta fundamentalmente en el incremento de la técnica de los delitos de peligro abstracto, los cuales adelantan la barrera punitiva a momentos en los que todavía no se ha lesionado el bien jurídico, que además de provocar una grave inseguridad jurídica, genera un debilitamiento de las garantías penales. Así, se castiga con la misma pena al que fabrica o posee programas informáticos específicamente destinados a la comisión de un fraude en Internet que al que consuma la estafa informática. Y, en segundo lugar, se ha visto obligado a evolucionar en lo que se refiere a su concepción de determinadas categorías penales para que puedan adaptarse a este nuevo escenario. Sirvan dos ejemplos al respecto. Primero, el concepto de daño penal en el mundo real se caracteriza por la permanencia y su tipificación se vincula a su valor económico. En cambio, en el mundo virtual, el daño informático, para que sea delito, el tipo penal exige que sea grave, conformándose esa grave-

Primavera 2021 // nº 48 // TEMA DE PORTADA

dad no necesariamente por su valor económico (¿cuánto cuesta un USB: 5-10€?), sino por el valor funcional del dato contenido en ese determinado programa, esto es, asumiendo criterios tradicionalmente vinculados a la responsabilidad civil, como el coste de limpieza del sistema informático, si había o no copia de seguridad, la cantidad de información perdida, las horas de trabajo empleadas en la elaboración del documento, etc. La permanencia tampoco es necesariamente una característica del daño informático: en este sentido, el delito de denial of service (denegación de servicio), consiste en obstaculizar o interrumpir el funcionamiento de un sistema informático sin necesidad de destruirlo o dañarlo (por ejemplo, mediante un envío masivo de mensajes spam que saturan el sistema). El segundo ejemplo al que quería hacer referencia es la evolución del concepto de intimidad para que sea un bien jurídico protegible penalmente en el mundo virtual. La intimidad ha pasado de ser entendida como prohibición de interferencias externas, vinculada al secreto, a ser superada esta concepción por la recepción de la cultura anglosajona de la privacy, que permite que esta sea concebida como un derecho activo de control vinculado a la idea de autodeterminación del individuo. La privacidad es así el conjunto de facetas reservadas de la persona, que aisladamente carecen de significación, pero entrelazadas conforman un retrato digital de la personalidad del individuo. Sin embargo, en la medida en que el usuario deja rastros, huellas digitales, en la medida en que los proveedores de acceso a la red registran el tiempo y localización de las conexiones (archivos logs), en la medida en que no se borren las cookies (archivos emitidos por los webs servidores visitados y que se graban en el disco duro del internauta), es difícil mantener la privacidad en Internet, por lo que ante este nuevo panorama se redefine la intimidad como derecho al anonimato. Bien es cierto que este derecho al anonimato, por los motivos aducidos, no puede hacerse efectivo plenamente, por lo que en la actualidad se limita al derecho al olvido. En definitiva, las peculiares características de las TIC no permiten siempre abordar la regulación de esta nueva realidad con los tipos penales tradicionales y, por tanto, exigen una respuesta nueva. Así, ocurrió, por ejemplo, con la modalidad estrella de los fraudes en Internet, el phishing, donde se emplea una manipulación informática para conseguir una transferencia no consentida de un activo patrimonial. Esta modalidad comisiva no encajaba en la estafa convencional cuyo papel rector es el engaño y, como consecuencia de él, se realiza un acto de disposición voluntaria por parte de la víctima. Nótese que, en el primero de los casos, el autor de la manipulación informática lo es también de la transferencia del

dinero, sin que la víctima se dé cuenta de ello, asemejándose a un hurto telemático más que a una estafa. Por exigencias del principio de legalidad penal, ante la imposibilidad de subsumir estas conductas en el delito de estafa, hubo que introducir un tipo de equivalencia que sustituye el engaño por la manipulación.

Las peculiares características de las TIC no permiten siempre abordar la regulación de esta nueva realidad con los tipos penales tradicionales y, por tanto, exigen una respuesta nueva Por otro lado, y habida cuenta de que nos encontramos ante conductas transfronterizas, una respuesta eficiente del sistema requiere reforzar los mecanismos de cooperación internacional, armonizar las disposiciones penales y dotar de eficacia los instrumentos procesales, aunque pueda implicar en ciertos aspectos una cesión de soberanía por parte de los Estados. Esta es la finalidad principal que pretende la normativa supranacional al respecto, representada fundamentalmente por el Convenio del Consejo de Europa sobre cibercriminalidad (Budapest, 23-11-2001), la Decisión Marco 2005/222/JAI del Consejo, relativa a los ataques contra los sistemas de información y la Directiva 2013/40/UE del Parlamento europeo y del Consejo, relativa a los ataques contra los sistemas de información por la que se sustituye la Decisión Marco anterior. Por lo que respecta a la armonización de las disposiciones penales, en cumplimiento de la Decisión Marco de 2005, se incluyó por primera vez en nuestro Código penal en 2010 el delito de acceso ilegal a los sistemas de información (hacking) y el delito de interferencia ilegal en los sistemas de información (daños informáticos). Por su parte, la Directiva de 2013 fue transpuesta a nuestro Código penal en 2015, originando una ampliación del ámbito típico de las conductas anteriormente mencionadas e introduciendo otras nuevas, como el castigo de abuso de dispositivos creados para producir bien un sabotaje informático, bien un hacking; la responsabilidad penal de las personas jurídicas cuando cometen estos delitos; o agravaciones cuando estas conductas se realicen en el seno de una organización criminal, cuando los daños informáticos afecten a infraestructuras críticas o se cometan suplantando la identidad del legítimo propietario de los datos utilizados.

Actuarios

TEMA DE PORTADA // nº 48 // Primavera 2021

De nada sirve la armonización de las disposiciones penales si no se cuenta con eficaces instrumentos procesales para perseguir estas conductas. La propia naturaleza de estas –caracterizada por el uso de sofisticados procedimientos técnicos– determina una mayor complejidad en la instrucción y enjuiciamiento de los delitos, que necesita el uso de las propias TICs como herramien-

La dificultad principal a que se enfrenta el investigador en este ámbito estriba en encontrar el equilibrio entre esa eficacia investigadora, salvando los obstáculos técnicos que rodean la comisión de estos delitos, y la estricta observancia de las garantías del investigado ta de investigación, con el indudable apoyo de técnicos especializados (como el agente encubierto informático). La dificultad principal a que se enfrenta el investigador en este ámbito estriba en encontrar el equilibrio entre esa eficacia investigadora, salvando los obstáculos técnicos que rodean la comisión de estos delitos, y la estricta observancia de las garantías del investigado. Es decir, por un lado, la conformación de la prueba, la evidencia electrónica (constituida por la información generada, almacenada o transmitida mediante el uso de dispositivos electrónicos con capacidad para obtener la convicción judicial), suele ser volátil, fácilmente manipulable o destruible. Por otro lado, las garantías del investigado –que acompañan a todo procedimiento penal– deben extremarse en el ámbito de la investigación de la delincuencia tecnológica, cuyas diligencias afectan a derechos fundamentales, especialmente la intimidad o el secreto de las comunicaciones. Este contrapeso se intenta conseguir a partir de la Ley Orgánica 13/2015, para el fortalecimiento de las garantías procesales y la regulación de las medidas de investigación tecnológica. Adicionalmente, no podemos obviar la doctrina del Tribunal de Justicia de la Unión Europea en este ámbito, la cual viene manteniendo que no puede establecerse con carácter preventivo una conservación generalizada e indiferenciada de los datos adicionales de los procesos de comunicación, y que solo la lucha contra la delincuencia grave que amenace la seguridad nacional puede justificar la conservación de estos por parte de los proveedores de acceso y de servicios, y sometida siempre a los principios de especialidad, idoneidad, excepcionalidad,

Actuarios

necesidad, proporcionalidad de la medida limitativa, temporalidad y control judicial. Finalmente, por lo que se refiere a la competencia para iniciar la persecución de estos delitos, dado su carácter transnacional, debe incidirse en desarrollar una interpretación global común del principio de ubicuidad (conforme al cual el delito se comete en todas las jurisdicciones en las que se haya realizado algún elemento del tipo, en consecuencia, el juez de cualquiera de ellas será, en principio, competente para la instrucción de la causa). Como complemento de lo anterior resulta esencial, por un lado, la coordinación y colaboración entre Estados para procurar una óptima determinación de esa competencia, que fije claramente los criterios de priorización en caso de conflicto y, por otro lado, reforzar los instrumentos de cooperación policial internacional (Europol, Interpol). En conclusión, el Derecho penal avanza con paso firme, pero lento, para intentar contener el desenfrenado fenómeno del cibercrimen. Cuando ha conseguido ofrecer una solución a un problema nace otra nueva modalidad delictiva. En momentos de crisis, como la generada por la pandemia, han proliferado nuevos fraudes informáticos que utilizan la ingeniería social cada vez más sofisticada, lo que supone un continuo reto a afrontar por los actuales instrumentos jurídico-penales. n

BIBLIOGRAFÍA • LEZERTÚA RODRÍGUEZ, Manuel, “El Proyecto de Convenio sobre el cibercrimen del Consejo de Europa”, en Curso Internet y Derecho Penal, Madrid: Consejo General del Poder Judicial. Servicio de formación continua, Escuela Judicial, 2001. • LÓPEZ ORTEGA, Juan José, “Libertad de expresión y responsabilidad por los contenidos en la Red”, en Curso Internet y Derecho Penal, Madrid: Consejo General del Poder Judicial. Servicio de formación continua, Escuela Judicial, 2001. • MIRÓ LLINARES, Fernando, El cibercrimen fenomenología y criminología de la delincuencia en el ciberespacio, Madrid: Marcial Pons, 2012. • “Cibercrímenes económicos y patrimoniales”, en Memento práctico penal económico y de la empresa, Madrid: Francis Lefebvre, 2016-2017.

Primavera 2021 // nº 48 // DOSSIER

Cyber organizational resilience is a business imperative: the essential eight steps to get there ANDREA BONIME-BLANC CEO, GEC Risk Advisory, Board Member, Global Strategist, Ethicist, Author

I. Introduction This article is a call to arms to all businesses – big, medium and small – to build cyber organizational resilience in the face of an unprecedented and exponentially growing global cyber threat matrix. Even governments are unable to cope with the cyberonslaught which means that everyone – from individuals to corporations – must do their part to protect lives, assets, value and stakeholder interests. This article begins by presenting some highlights of the current, dark cyber-picture that is upon us. We then shine the spotlight on three ongoing mega-cyber breach cases and conclude with an eight-step plan for building cyber-organizational resilience. This is the bottom line for business: ignoring the cyber problem could become one of the costliest potentially existential) crises you’ve ever faced. Paying attention to it now will protect people, assets and profits and give your business the opportunity to not only survive financially but thrive reputationally. Building cyber organizational resilience is the only sustainable stance that businesses can take to the ever-expanding universe of cyber-malevolence. Even when businesses do all the right things, they will still be at a severe disadvantage because, unlike many other business risks, cyber-risk is primarily a turbo-charged, frontier-less criminal risk where only .5% of the criminals get prosecuted and/or a nation-state, geopolitical risk for which businesses are completely outgunned (literally and figuratively). In both cases, business needs the help of government and in both

cases so far business hasn’t gotten much help (or looked for it, frankly). It’s time to seriously address and fix these problems. II. A Global-Mega-Cyber-Problem “I am convinced that there are only two types of companies: those that have been hacked and those that will be. And even they are converging into one category: companies that have been hacked and will be hacked again”. Prophetic words in 2012 uttered by then FBI Director Robert S. Mueller at what now can only be called the dawn of modern-day cyber-attacks before they became as huge, widespread, diversified and accelerated as they are now, especially since Covid19 hit in early 2020. When Director Mueller said those words almost a decade ago, we had no idea how pervasive, complex, multi-dimensional, disruptive, exponential and frightening the world of cyber-attacks would become in the following years. According to Verizon, 86% of all cyber breaches are financially motivated. The World Economic Forum (WEF) has estimated revenues from cybercrime to be at around US$2.2 Trillion this year likely to grow almost five times to US$10.5 Trillion by 2025. 1 https://en.wikiquote.org/wiki/Robert_Mueller

Actuarios

DOSSIER // nº 48 // Primavera 2021

Think about how that breaks down on the other side of that equation – the damage in US Dollars caused by cyberattacks estimated for 20212:

“Organized cybercrime entities are joining forces, and their likelihood of detection and prosecution is estimated to be as low as 0.05% in the U.S.”3

Figure 1: Global Cybercrime Damage Costs

$6 Trillion USD a Year* $500 Billion a Month $115.4 Billion a Week $16.4 Billion a Day $684.9 Million an Hour $11.4 Million a Minute $190,000 a Second

ALL FIGURES ARE PREDICTED BY 2021 CYBERSECURITY

VENTURES

Source: *Cybersecurity Ventures.

Add to this reality the fact that the Global Pandemic of 2020-21 has turbocharged cybercrime (as the Interpol chart below shows), targeting especially vulnerable sectors like hospitals, municipalities, healthcare, pharma and supply chain targets. What we now have is an unprecedented, constantly and rapidly morphing and exponentially growing global cyber-mess. Figure 2: Distribution of the key COVID-19 inflicted cyberthreats based on member countries’ feedback Key Covid-19 Cyberthreats 60 50 40 30 20 10 0

Malicious Malware/ Phishing/ domains Ransomware Scam/ Fraud

If those figures didn’t paint a dire enough picture, WEF’s 2021 Global Risks Report estimates that:

Fake news

Based on the comprehensive analysis of data received from member countries, private partners and the CFC, the following cyberthreats have been identified as main threads in relation to the COVID-19 PANDEMIC. Source: Interpol 2020.

The bottom line is that cybercrime pays so much more than traditional crime, is so much easier to perpetrate and has so many other advantages to other types of crime (e.g., it’s largely untraceable, logistically seamless, inexpensive to deploy and doesn’t require a lot of investment in human capital). In other words, it pretty much can be perpetrated from someone’s basement or bedroom. Ideal for our work-from-home pandemic times. Meanwhile, though the Biden/Harris Administration has gotten off to a good start on rethinking and restructuring cybersecurity with more appropriate strategy, budgets and qualified personnel addressing both the public and private sectors, the FBI’s cyber budget until now has been less than $500 million. And that’s for the country – the United States – that has been most cyber-attacked in the World - see WEF chart below. Figure 3: Significant Cyberattacks 2006-2020 (Total Number) United States United Kingdom India Germany South Korea Australia Ukraine China Iran Saudi Arabia Japan Canada France Israel Pakistan Russia Hong Kong SAR Viet Nam Turkey North Korea 0

100

150

200

Source: World Economic Forum 2020.

2 https://cybersecurityventures.com/cybercrime-damages-6-trillionby-2021/?_aiid=12699&trots=dGVuZzpnbztiZW5nOmI7ZGVuZzpjO2tlbmc6bmF0aW9uYWwlM

Actuarios

3 http://www3.weforum.org/docs/WEF_Global_Risk_Report_2020.pdf

Primavera 2021 // nº 48 // DOSSIER

Think about the differential between the cybercriminal world currently drawing revenue of $2.2 Trillion versus that tiny FBI cybercrime enforcement budget in the country that is the most affected by cyber-crime and you get a picture of an upside-down, asymmetrical David and Goliath mega-problem confronting not just the US but the world in general where national governments oddly are David and the cyber-criminals sitting in their basement are Goliath (maybe). As the leading cyber security expert, Larry Clinton, President of the Internet Security Alliance (and coauthor of the NACD and WEF Cyber Risk Handbook), has stated: “The Cyber equation attack methods are comparatively cheap and easy to acquire, attackers have first-mover advantage, generate high profits with a great business model. Versus the defenders protecting an inherently vulnerable system (getting more vulnerable all the time), often “out-gunned” by attackers, virtually always in reactive mode and who get virtually no help from law enforcement.” III. Three Cyber Breach Cases: The Good, the Bad and/or the Ugly? The following three cases (described in Boxes 1, 2 and 3) are meant to illustrate the vastness of the problem. Indeed, all three cases while not fully attributed to any nation state or criminal entity yet bear all the markings of both nation state and criminal gang activity. They are all far from resolved at the time of this writing. The Microsoft Exchange case appears to have been started by China but once revealed publicly became the object of a vast criminal ecosystem feeding frenzy. Microsoft leadership’s rection to this event has been consistent with its style of leadership under Satya Nadella its CEO – more transparent than opaque, and more collaborative than obtuse, but it is certainly a huge embarrassment that only a cyber-resilient organization like Microsoft can appropriately manage. The Facebook case – despite Facebook’s protestations to the contrary – reveals the soft underbelly of a company that is not known for protecting the privacy and data of its users – quite to the contrary, known for making user data (and everything that goes with it) the center of its wildly successful business model. This is another blow to the reputation of the company which does not appear to have deep cyberresilience based on what we know publicly.

Finally, the SolarWinds case also bears the signature of Russia acting as a nation state perpetrator not only affecting US government agencies but also most of the Fortune 500 global companies. This case underscores the severe flaws and vulnerabilities that exist in the overall supply chain on a B2B level as well as between business and government with little attention paid to security at the inception and during the lifecycle of a software product. And for a company that has some of the most sensitive US government agencies as customers to allow its interns, reportedly, to enter passwords like “Solarwinds123” and then post the password on GitHub is a massive failure of cyber-resilience, specifically cyberculture and risk management4. Box 1 - The Microsoft Exchange Hack5 “Microsoft and DHS CISA announced the confirmed exploitation of several vulnerabilities in Microsoft Exchange Server which have allowed adversaries to access email accounts, exfiltrate data, move laterally in victim environments, and install additional accesses and malware to allow long-term access to victim networks. The exploitation of these vulnerabilities is described as a zero-day (or 0day), which means they were targeted and acted upon prior to the vendor knowing that the vulnerabilities existed. In other words, there were zero days for the vendor to implement a fix for the vulnerability before it was used in an attack. Microsoft detected multiple successful attacks against previously unknown vulnerabilities in Microsoft Exchange Server. Microsoft Threat Intelligence Center (MSTIC) has attributed observed activity with high confidence to a group they have named HAFNIUM, which they assess to be state-sponsored and operating out of China. The U.S. Government has not confirmed attribution at this time. Box 2 - The Facebook 533 million User Breach6 “After information from 533 million Facebook users was exposed to hackers, the company has tried to reassure users, saying that the data was 4 https://www.zdnet.com/article/solarwinds-security-fiasco-may-havestarted-with-simple-password-blunders/ 5 https://www.cisecurity.org/ms-exchange-zero-day/ 6 https://www.theguardian.com/technology/2021/apr/06/facebookbreach-data-leak

Actuarios

DOSSIER // nº 48 // Primavera 2021

leaked years ago and has since been secured. But experts say the issue is still grave – whether it happened in 2021 or years prior – largely because of the nature of the leaked data. The dataset, first reported by Business Insider, contained information from 106 countries including phone numbers, Facebook IDs, full names, locations, birthdates and email addresses.”

Cyber resilience is an organization’s ability to sustainably maintain, build and deliver intended business outcomes despite adverse cyber events Box 3 - The SolarWinds Sunburst Breach7 “On December 13, 2020, FireEye announced the discovery of a highly sophisticated cyber intrusion that leveraged a commercial software application made by SolarWinds. It was determined that the advanced persistent threat (APT) actors infiltrated the supply chain of SolarWinds, inserting a backdoor into the product. As customers downloaded the Trojan Horse installation packages from SolarWinds, attackers were able to access the systems running the SolarWinds product(s). This cyber-attack is exceptionally complex and continues to evolve. The attackers randomized parts of their actions making traditional identification steps such as scanning for known indicators of compromise (IOC) of limited value. Affected organizations should prepare for a complex and difficult remediation from this attack.” IV. Building Cyber Organizational Resilience: Partial and Imperfect but the Only Path Forward All that is the bad news. Is there any good news? I think there is and it’s this: businesses big, medium and small, can do something to protect themselves by building resilience and awareness within their organizations. However, without taking these key measures, businesses 7 https://www.cisecurity.org/solarwinds/

Actuarios

big, medium and small, are exposed and outgunned both literally and figuratively and at very high risk of a serious, material or even existential cyber-crisis. Even being resilient doesn’t guarantee cybersuccess. But what it does do is provide greater confidence and trust to stakeholders (including importantly investors, regulators and the government) that management and the board are doing their utmost to safeguard the crown jewels of the company including people and assets (both digital and physical) as well as pursuing a mission, purpose and strategy that is both resilient and sustainable. So, what is “cyber resilience”?8 “Cyber resilience is an organization’s ability to sustainably maintain, build and deliver intended business outcomes despite adverse cyber events. Organizational practices to achieve and maintain cyber resilience must be comprehensive and customized to the whole organization (i.e. including the supply chain). They need to include a formal and properly resourced information security program, team and governance that are effectively integrated with the organization’s risk, crisis, business continuity, and education programs.” And what is “organizational resilience”?9 “Organizational resilience is the ability of an organization to provide and maintain an acceptable level of operation, service, and performance in the face of challenging conditions, disruptions, risks and crises and to bounce back and recover quickly from them with minimal impact to the organization including to its reputation.” If we combine both terms to try to understand what cyber-organizational resilience is, I come up with eight key steps to building organizational cyber-resilience that is based on research and work I have done on cyber-governance, leadership, risk and resilience over the past 10 years. In my book, Gloom to Boom, I explore different types of organizational resilience with those having the “Virtuous” or “Responsible” types being the most equipped and able to deal with major incidents such as material cyber-attacks. See picture below. 8 M. Bundt & A. Bonime-Blanc. Cyber Resilience ESG Reporting. Swiss Re & GEC Risk Advisory White Paper. 2020. 9 A. Bonime-Blanc. Gloom to Boom: How Leaders Transform Risk into Resilience and Value. Routledge 2020.

Primavera 2021 // nº 48 // DOSSIER

Figure 4:

1. Lean in Cyber Governance and Leadership 1. LEAN-IN GOVERNANCE

8. INNOVATION ETHOS

2. EMPOWERED INTEGRITY THE VIRTUOUS RESILIENCE LIFECYCLE

7. CRISIS READINESS 6. PERFORMANCE EQUILIBRIUM

3. STAKEHOLDER EQ 4. RISK INTELLIGENCE

This means that your board of directors and your c-suite understand the depth and breadth of the cyber challenge and are prepared to provide both the tone from the top and the resources and budget necessary to create lean-in, triangular cyber risk governance: where oversight by the board, strategy by the c-suite and front-line coordinated implementation by both functional and operational experts are in sync and operating smoothly together. See Graphic below. Figure 6:

5. HOLISTIC ESGT STRATEGY

Source: A. Bonime-Blanc. Gloom to Boom. Routledge 2020.

The Board Proactive Oversight

In contrast those with a “Fragile” or “Vicious” Lifecycle (the worst kind) of organizational resilience are at a severe disadvantage when it comes to dealing with the pervasive and potentially existential threat of cyber insecurity. Just take a look at the graphic below for the Vicious Lifecycle type and you can draw your own conclusions.

Executive Management Strategy (incl. ESGT)

LEAN-IN TRIANGULAR GOVERNANCE

Figure 5: 1. WEAK GOVERNANCE 8. SCATTERSHOT SELF-IMPROVEMENT 7. CRISIS UNPREPAREDNESS

Functions

Strategic & Tactical Collaboration Integration& Implementation

Operations

2. TOXIC CULTURE THE VICIOUS RESILIENCE LIFECYCLE

6. NO PERFORMANCE METRICS

3. STAKEHOLDER NEGLIGENCE 4. RISK BLINDNESS

5. STRATEGIC ESGT ABSENCE

Source: A. Bonime-Blanc. Gloom to Boom. Routledge 2020.

Building on this model and focusing it exclusively on the construction of cyber-organizational resilience, I would distinguish the following 8 elements:

Source: A. Bonime-Blanc. Gloom to Boom. Routledge 2020.

In the excellent March 2021 World Economic Forum, the Internet Security Alliance, PwC and the National Association of Corporate Directors publication “Principles for Board Governance of Cyber Risk”, they distinguish the following key elements of the cyber-resilient organization from the governance perspective10: > Cybersecurity is a strategic business enabler

10 http://www3.weforum.org/docs/WEF_Cyber_Risk_Corporate_Go vernance_2021.pdf

Actuarios

DOSSIER // nº 48 // Primavera 2021

> U nderstand the economic drivers and impact of cyber risk > Align cyber risk management with business needs > Ensure organizational design supports cybersecurity > Incorporate cybersecurity expertise into board governance > Encourage systemic resilience and collaboration. 2. Empowered Culture of Cyber and Information Hygiene The culture that the tone from the top imbues the organization with is one that highlights, underscores, incentivizes and reinforces a culture of information hygiene and cyber hygiene where all concerned are trained and retrained regularly on pitfalls and best practices and are not afraid to speak up and when they do they are not ignored. A great example was provided by the Chief Information Security Officer of the World Health Organization, Flavio Aggio, in his keynote presentation at the Cyber Future

Foundation/WHO Special Meeting held in April 2021 as follows11: > W ork hard to change the mindset that “IT ensures 100% security” > Monthly Phishing exercises make users understand cyberattacks faster & better > Communicate often but not too much > Concentrate on “what’s in it for me?” > Collaborate and share information with external organizations > Concentrate on human centric technology 3. Cyber-Stakeholder Emotional Intelligence Each company needs to know where its cyber crown jewels are (assets – digital or physical that cyberattackers might be interested in), understand how to prioritize and protect them and then understand

11 Flavio Aggio, CISO, WHO, Keynote address CFF WHO Cyber Healthcare Special Meeting - https://www.youtube.com/watch?v=a1LW8w1SwQY&t=1955s

Figure 7: A universe of potential stakeholders

CONTRIBUTORS

PARENTS

PARTNERS

OWNERS/ SHAREHOLDERS

COMMUNITIES

CONSUMERS/ PURCHASERS

FACULTY

GOVERNMENTS

SOCIAL MEDIA

POTENTIAL STAKEHOLDERS EMPLOYEES

PROSPECTIVE EMPLOYEES

THIRD PARTIES/ SUPPLY CHAIN

PAST EMPLOYEES

NON-GOVERNMENTAL ORGANIZATIONS

STUDENTS PROSPECTIVE STUDENTS

Source: A. Bonime-Blanc. Gloom to Boom. Routledge 2020.

Actuarios

MEDIA

REGULATORS

DONORS

SPORTS FANS

SPONSORS

Primavera 2021 // nº 48 // DOSSIER

how their main stakeholders – owners/shareholders, customers, employees, other – may be negatively affected. A key part of this component of cyberorganizational resilience is to reach out and have close stakeholder relations and information sharing especially in the more vulnerable sectors with the greatest potential damage from cyberattacks (health, utilities, financial). That’s why it is so important to have the right industry or sector collaboration as well as private public cyber-collaboration. See Graphic below for potential stakeholders.

4. Cyber-Risk Intelligence

5. Strategic integration of key ESGT issues, risks and opportunities including cyber

It is absolutely crucial that cyber-risk management be a seamless part of a company’s risk management system – fully integrated into enterprise risk management and risk mitigation and transfer opportunities such as cyber insurance. Part of a robust cyber risk management program is to have the right interdisciplinary, cross functional, multidivisional group of experts internally (with access to outside experts) within your company. See graphic below for an illustration of this concept.

No business will be cyber-secure or prepared if it does not integrate cyber-risk considerations into its business strategy. Period. There are way too many weak links in the chain of any business – whether it’s the innovation stage, the product or services research and development chain, the supply chain, the mergers and acquisitions space, talent acquisition strategy (employee or contractors, subcontractors, etc.) or simple software updating protocols – if a company is not bringing cyber-vigilance into all aspects of strategy formulation, development

Figure 8:

THE RISK MANAGEMENT CROSS-FUNCTIONAL IMPERATIVE GLOBAL RISK: CYBER & TECH INSECURITY GLOBAL RISK: LEADERSHIP & CULTURE FAILURE

SECURITY & CRISIS MANAGEMENT

ETHICS & COMPLIANCE

RISK MANAGEMENT

HUMAN RESOURCES

LEGAL

GOVERNANCE

FINANCE

AUDIT

GLOBAL RISK: SUPPLY CHAIN BREAKDOWN

INFORMATION TECHNOLOGY

GLOBAL RISK: GEOPOLITICAL DISRUPTION

PR & COMMUNICATIONS

CSR & CORPORATE RESPONSIBILITY

ENVIRONMENT, HEALTH & SAFETY

GLOBAL RISK: FRAUD & CORRUPTION

Source: A. Bonime-Blanc. Gloom to Boom. Routledge 2020.

Actuarios

DOSSIER // nº 48 // Primavera 2021

Figure 9:

SOCIAL

GOVERNANCE

HUMAN RIGHTS

LEADERSHIP: BOARD & EXECUTIVE TEAM

LABOR RIGHTS

MISSION VISION

QUALITY

CULTURE ETHICS & VALUES

SAFETY

ENVIRONMENTAL

ORGANIZATIONAL STRATEGY

SUSTAINABILITY

FINANCIAL/ OPERATIONAL

CLIMATE

TECHNOLOGY INNOVATION & DISRUPTION SOCIAL MEDIA / INTERNET FAKE NEWS / DEEP FAKES

BUSINESS PLAN

BIODIVERSITY

BUDGETING

WASTE

RESOURCES

ARTIFICIAL INTELLIGENCE CYBER INSECURITY

MERGERS ACQUISITIONS DISPOSALS INNOVATION INTERNAL

ALL STAKEHOLDERS

EXTERNAL

Source: A. Bonime-Blanc. Gloom to Boom. Routledge 2020.

and execution it is once again exposing itself to major potential cyber damage not to mention losing out on serious opportunities for new business. See how cyberinsecurity is part of a broader ESGT strategy integration in the graphic below: 6. Performance metrics and incentive program including cyber-metrics You cannot reward (or discipline I would add) what you cannot measure – is an important maxim in business. So the same goes for cyber-resilience – how do you measure cyber security internally? Do you have the right people, are they doing the right things, what is the profile of cyber-incidents, how quickly are they resolved, are we using the right technology solutions, training, communications, etc. And all this needs to be tied back to professional and executive compensation metrics and be properly reported to

Actuarios

the board (who as we stated in #1 above should be leaning-in proact8uvely on cyber security oversight). Otherwise, no one will be properly incentivized. Below is a sample dashboard that attempts to capture some of such metrics. 7. Crisis Readiness including deep, broad cyber preparedness Companies must have, in the first place, a crisis management team and plan that is ready at any given time, especially in. these crises-ridden times, to deal with a major crisis, including a cyber event. That means that the right people, resources and tools are ready and available and that proper scenario planning by an interdisciplinary team of high-level professionals, the executive team and the board should be addressing periodically. And all of the crisis management needs

Primavera 2021 // nº 48 // DOSSIER

Figure 11: What’s on your board’s cyber risk governance dashboard? Architecture of cyber risk governance

Budget & resources

How is the company positioned, organized, and deployed for cyber What is being spent? risk management

What is needed for proper cyber risk management?

Is this the optimal approach?

Threat matrix-substantive cyber-risk issues

Toolkit & proactive measures

Top issues

Status report on the main policies and programs in place what is

Industry trends and benchmarking

needed

Technology trends and benchmarking Global heat map

Technology & liability defenses in place

Internal technology talent & skills assessment

Status report on what cyber defenses are in place: technological,

Review top expert executives

assessments, audits, monitoring, testing, insurance

Review C-suite and CEO performance on cyber-risk management

Incident reporting

External experts used/needed

Statistical overview of all incidents at company

Are the right experts in place? Including for periodic board report

Specific mention of serious-to-material incidents

Cyber attack crown jewels

Cyber actors & stakeholders matrix

Know exactly what your company’s crown jewels are what are the Who are the potential perpetrators? perpetrators and potential perpetrators after?

Who are the company stakeholders and potential victims?

Source: Source: A. Bonime-Blanc. Emerging Practices in Cyber Risk Governance. The Conference Board 2016.

to be seamlessly integrated with cyber savvy business continuity, backup and data management and preservation planning, of course.

adopting the important take-aways. It means that the cyber-security ethos must be one of continuous improvement and reinvention.

8. Cyber - innovation ethos

V. Conclusion

Lastly but definitely not least, the same approach that companies give to their product and services innovation should be brought to cyber-security and risk management innovation. What does that mean?> It means thinking and acting outside of the box and learning lessons learned from both company incidents as well as sector and industry incidents that might have occurred. It means joining sector information sharing groups and public/private collaboration. It means doing deep dives, root cause analysis and

In closing, in mid-2021, I would propose that we revise Director Mueller’s words quoted at the beginning of this article from 2012 to read as follows: There are only two kinds of organizations (whether government, business or NGO) – those that have been hacked and know it and those that have been hacked and don’t know it yet. And the only way to be prepared for the future is to be cyber-resilient. n

Actuarios

TEMA DE PORTADA // nº 48 // Primavera 2021

Ciberriesgos: un acercamiento desde la perspectiva del gestor de riesgos José Manuel García // Actuario CERA Sonia Latorre // Actuaria CERA

Seguramente todos estamos más o menos familiarizados con el término “phishing” o “spyware” dentro de la categoría de delitos digitales (malware), y en alguna ocasión habremos oído hablar de los “troyanos” o los “gusanos”, lo cual nos da la falsa sensación de que tenemos cierto conocimiento sobre la materia, pero no hay nada como intentar profundizar un poco para ser consciente de tus limitaciones. No es sólo el descubrimiento del elenco de términos que puede haber detrás de un ciberataque, sino de los matices que los diferencian y que en definitiva determinan a qué tipo de riesgo nos estamos enfrentando y cómo gestionarlo. A lo largo de los últimos años hemos sido testigos de algunos ciberataques a nivel global que ponen de manifiesto el alcance e impacto potencial que pueden tener ya no sólo a nivel de empresa, como es el caso del ramsomware1 WannaCry, que afectó a unos 200.000 sistemas informáticos de 150 países, sino a nivel estatal, como fue el caso del ataque Sunburst que afectó a los sistemas de las principales agencias gubernamentales estadounidenses. No menos impactantes son los medios utilizados en los ciberataques: desde el uso de Inteligencia Artificial para simular la voz del CEO de la empresa y ordenar una transferencia millonaria, hasta acceder a la base de datos de casino por medio del termómetro de su acuario conectado a internet Los recientes ataques en el sector asegurador que han dejado en jaque dos de las principales aseguradoras españolas nos han mostrado una realidad a la que no podemos darle la espalda. En Segurcaixa, un ciberataque detectado el pasado 9 de septiembre apagó digitalmente por completo a la compañía, dejando de funcionar de un día para otro los sistemas informáticos, como los que gestionan las autorizaciones de pruebas médicas y las pólizas de los usuarios. Inmediatamente se activó el plan de contingencia y se trabajó para solucionar los efectos. El ciberataque

1 Código malicioso que cifra la información del ordenador e ingresa en él una serie de instrucciones para que el usuario no pueda recuperar sus archivos. La víctima, para obtener la contraseña que libera la información, debe pagar al atacante una suma de dinero, según las instrucciones que este disponga.

Actuarios

provocó seis semanas de intentos de recuperación del apagón digital provocando una situación muy delicada durante ese mes y medio. Segurcaixa no fue el único en sufrir un ataque el verano pasado, Mapfre España también fue víctima de un ataque informático similar que ralentizó la capacidad de los equipos y afectó a sus dispositivos. La misma compañía comunicó el ciberataque sufrido a través de sus redes sociales haciendo gala de un ejercicio de transparencia muy bien recibido por todos los grupos de interés y que aumentó la comprensión de todos ellos respecto a la crisis que estaba afrontando la compañía. El 90% de los dispositivos de la empresa no pudieron trabajar con normalidad durante dos semanas. La buena ejecución del Plan de continuidad de negocio de la compañía se vuelve esencial para acortar los tiempos de espera en la recuperación tras un ataque de estas características y el gestor de riesgos en una persona clave en la gestión de la emergencia. Las autoridades europeas no han sido ajenas a esta realidad y han querido alinearse con la evolución tecnológica de las empresas y de sus riesgos, desarrollando una serie de normativa que, si bien se solapa en algunos aspectos, tiene la vocación de ser exhaustiva y no dejarse a nadie fuera. Hablamos del borrador del Reglamento de resiliencia digital operativa (DORA por sus siglas en inglés: Digital Operational Resilience Act) que afecta al sector financiero, pero también de la propuesta de Directiva sobre resiliencia de las infraestructuras críticas (CIR: Critical Insurance Resilience) y de la actualización de la Directiva para salvaguardar la seguridad de la información (Network and Information Security –NIS2 en sus siglas en inglés– y su modificación conocida como NIS23) cuyos borradores fueron ambos emitidos en diciembre del año pasado. No podemos olvidar los dos grupos de Directrices recientemente publicadas desde EIOPA dentro del ámbito del sector seguros (las Directrices sobre la externalización a

2 DIRECTIVA (UE) 2016/1148 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 6 de julio de 2016 relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión. 3 DIRECTIVA DEL PARLAMENTO EUROPEO Y DEL CONSEJO relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad y por la que se deroga la Directiva (UE) 2016/1148.

Primavera 2021 // nº 48 // TEMA DE PORTADA

proveedores de servicios en la nube, aplicable desde el 01/01/2021 y las Directrices sobre gobernanza y seguridad de la tecnología de la información y las comunicaciones, de aplicación a partir del 01/07/2021); en definitiva un completo marco regulatorio que incluye, entre otros aspectos, las pautas de gestión y control de los que aquí denominamos ciberriesgos. La Dirección General de Seguros y Fondos de Pensiones (DGSFP), conocedora de esta realidad, incluye entre sus prioridades de supervisión en materia de riesgos para los ejercicios 2020-2022 el control del riesgo cibernético o ciberriesgos en las entidades y espera su inclusión dentro del riesgo operacional de las entidades, así como formando parte de sus escenarios ORSA. En este contexto normativo, el gestor de riesgos ha de ser proactivo, tanto por la rápida evolución en la complejidad y alcance de esta tipología de riesgos, como por la normativa que lo acompaña, en caso contrario corre el riesgo de verse sobrepasado y quedar obsoleto. El área de Riesgos no puede, por tanto, permitirse el lujo de adoptar una postura reactiva ante los ciberriesgos ya que podría ser ya demasiado tarde para la empresa, ha de formarse e informarse para la adecuada toma de decisiones empresariales relativas a cualquier tipología de riesgos combinando la ciencia actuarial con los principios teóricos, prácticos y profesionales de ERM. No existe un método infalible y único para evitar un ciberataque, sino una serie de herramientas y acciones complementarias que la empresa ha de integrar en su operativa diaria para mitigar su frecuencia y/o su impacto. Hablamos principalmente de medidas de seguridad tecnológica (antivirus, contraseñas seguras, copias de seguridad, cifrado de información, etc.), pero también de acciones de comunicación, concienciación y formación a los empleados para que interioricen la magnitud y complejidad del riesgo cibernético, y por supuesto de un sistema de gobierno que garantice la idoneidad, coherencia y coordinación de todas las estrategias de seguridad llevadas a cabo. La complejidad a la hora de cuantificar en este tipo de riesgos operacionales y de definir un apetito de riesgo asociado es una complicación adicional en su proceso de valoración. La monitorización de toda la información de los dispositivos y sistemas de la empresa con el fin de detectar errores, vulnerabilidades o ataques es el punto de partida para una adecuada valoración. El objetivo de los procesos de monitorización de datos no es únicamente extraerlos, sino ser capaz de procesarlos e interpretarlos, así como definir un mitigante adecuado para reducir su potencial impacto, como, por ejemplo, una póliza de seguro adecuada.

El gestor de riesgos tiene el papel de liderar un proceso que cubre desde la propia identificación del riesgo, pasando por su incorporación y clasificación dentro del mapa de riesgos de la compañía, la medición de su frecuencia e impacto, establecimiento de posibles controles y planes de acción, e integración de su gestión dentro del sistema de gobierno de la entidad a través de su normativa interna (políticas, manuales, procedimientos, etc.). La actual gestión de riesgos ha de clasificar y valorar riesgos que rara vez se encuadran en una sola categoría (financieros, técnicos o legales), sino que los impactos en muchos casos son transversales y difíciles de cuantificar porque apenas se cuenta con experiencia previa. Sin ir más lejos, los riesgos operacionales (clasificación en la que tendrían cabida los ciberriesgos), tienen hoy en día implicaciones de muy diversos tipos y con un componente reputacional cada vez más relevante e incierto. No es un caso aislado, la evolución de los riesgos de ciberseguridad es asimilable a la de los riesgos ESG4 y a los escenarios de pandemia, los cuales años atrás los identificábamos como riesgos “emergentes” pero que ahora forman parte tanto de nuestra realidad actual como de la emergente, dada su rápida evolución o mutación. En un escenario como el actual, donde las empresas han tenido que adaptarse a una situación creciente de teletrabajo, los ciberriesgos han tenido, si cabe, una mayor trascendencia, ya que los sistemas se han visto más expuestos a ciertas vulnerabilidades (asociadas fundamentalmente a la seguridad de la información) que antes de la pandemia eran limitadas en volumen y por tanto más sencillas de gestionar. Para ello se ha de contar, por tanto, con la complicidad de toda la organización, desde el Consejo de Administración –responsable último de las políticas y del sistema de gobierno– hasta las áreas de negocio que tienen un conocimiento más preciso del riesgo y de su eventual impacto en la empresa. Los ciberriesgos son sólo un ejemplo más de la importancia de la gestión de riesgos como motor y catalizador de las respuestas de la empresa ante este mapa de riesgos cambiante y complejo. Su adaptabilidad en este escenario va a ser capital y el gestor de riesgos ocupará un rol fundamental: su capacidad, experiencia, su visión global y sobre todo su actitud y anticipación ante los nuevos riesgos permitirá a la empresa estar mejor preparada frente a los próximos retos y eventos futuros. n

4 Environmental, Social and Governance.

Actuarios

TEMA DE PORTADA // nº 48 // Primavera 2021

Cyber resiliencia en el sector asegurador Daniel Hernández Arroyo // Director, Cyber Risk Advisory. Deloitte

Resiliencia en el sector asegurador Comenzaremos por ubicar dos términos que, aunque son considerados básicos en materia de seguridad de la información, ayudarán a centrar el foco en este artículo: ciberseguridad y ciberresiliencia. Por un lado, ciberseguridad, concepto definido como el conjunto de medidas de prevención y contención establecidas en una Organización para la protección ante una amenaza en los sistemas, equipos, aplicaciones, redes o información de esta. En la actualidad los sistemas de información se han convertido en uno de los activos de mayor valor en las Organizaciones y el mayor foco para el ataque en los ciberdelincuentes. En este contexto, los atacantes buscarán el daño en los sistemas ante cualquiera de los tres pilares de la información: > Confidencialidad: entendida en el ámbito de la ciberseguridad, como la protección de datos y de información intercambiada entre un emisor y uno o más destinatarios frente a terceros, así como de la configuración incluida en los dispositivos tecnológicos involucrados. > Integridad: referido a la correctitud y completitud de los datos en un sistema de información. Cuando los contenidos o configuraciones de estos se modifican, la integridad de los datos almacenados puede perderse de diferentes maneras. > Disponibilidad: La disponibilidad es la proporción de tiempo que un sistema está en condiciones de funcionamiento. Al mismo tiempo es un protocolo de diseño e implementación que asegura un cierto grado absoluto de continuidad operacional durante un período de medición dado. En este entorno y, para minimizar los posibles impactos de un incidente de seguridad, aparece nuestro otro termino citado, ciberresiliencia, concepto el cual define la capacidad de las Organizaciones para hacer

Actuarios

frente a la respuesta y recuperación de los incidentes ocurridos a través de las actividades de gestión y seguimiento. Identificado el contexto del que hablaremos, el objetivo del presente documento es analizar tanto el estado actual de las capacidades de ciberresiliencia que las Organizaciones del sector asegurador disponen, como de aquellas capacidades que, considerando su nivel de amenaza, sería recomendable que dispusieran para su protección. ¿Cómo deberían afrontar la preparación y respuesta de incidentes de seguridad las empresas del sector seguros? Las nuevas amenazas asociadas a los entornos tecnológicos (ransomware, explotación de vulnerabilidades, phishing, robo de información, etc.) son los nuevos retos a los que las Organizaciones deben hacer frente en el proceso de la digitalización actual. Con el propósito de minimizar el riesgo de estas amenazas en las Organizaciones, es necesario establecer procedimientos, medidas y acciones para la respuesta a incidentes de seguridad y establecer por tanto el modelo de gobierno (roles, comités, reporting, etc.) asociado a estas actividades. Para saber cómo, cuándo y porqué actuar en el momento de la crisis o incidente, se han identificado diferentes actividades de preparación previa que las Organizaciones deberán trabajar para dotarse de las capacidades idóneas de cara a una correcta gestión de incidentes de seguridad en la fase de respuesta: > Modelo de gobierno para la respuesta ante incidentes: enfocado en la identificación y formalización de los roles y responsabilidades asociadas a las actividades de respuesta ante incidentes, así como en la definición de los comités y flujos de comunicación necesarios para la gestión en el momento del incidente. > Desarrollo y procedimiento de respuesta ante incidentes para el análisis y adaptación en la Organización de actividades de mitigación y control durante el momento del incidente. Este procedimiento incluirá las actividades asocia-

Primavera 2021 // nº 48 // TEMA DE PORTADA

das a cada una de las fases de la respuesta del incidente, así como las acciones necesarias de cara al cierre y aprendizaje del incidente. > Análisis de riesgos que incluya la matriz de riesgos para analizar las diferentes probabilidades de que se produzca un incidente de seguridad y la posible formalización de playbooks específicos de actuación ante estos riesgos. > Medidas de seguridad implementadas para la mitigación y contención de los impactos asociados al incidente de seguridad. > Simulaciones y cyberwargaming para el entrenamiento y uso de las capacidades anteriores e identificar posibles gaps en el momento de respuesta. Estas actividades ayudarán a las Organizaciones a estar preparadas en el momento en que ocurra el incidente, minimizando los impactos asociados. Por desgracia, la implementación de estas capacidades previas no implica que las Organizaciones no puedan tener incidentes de seguridad, por lo que es necesario saber y poder responder ante estos. Por ello, una vez implementados estos pasos previos, es necesario estipular diferentes fases de cara al triaje y gestión del propio incidente una vez que ya se ha producido, así como tener las capacidades necesarias para la respuesta ante el incidente, ya sea de manera interna y externa. > E n primer lugar, será necesario realizar una fase de análisis donde el objetivo es entender el alcance del incidente, su naturaleza y su criticidad. Con los resultados obtenidos se procurará la elaboración de un plan efectivo de contención, erradicación y recuperación. > Paralelamente se deberán realizar las labores de contención con el fin de evitar que el incidente se propague de forma descontrolada, llevando a cabo acciones que permitan mitigar el impacto simultáneamente con otras acciones de análisis o erradicación. Para garantizar una contención adecuada a la casuística del incidente y sus impactos, es necesario haber realizado previamente una exhaustiva labor de análisis del incidente, que podrá evitar posibles efectos indeseados o de rebote. > Realizadas las labores de contención y controlado el alcance del incidente, es necesario iniciar las actividades de erradicación para eliminar el vector de entrada y sus efectos aso-

ciados y poder reestablecer los servicios a su estado habitual. La adecuada erradicación del incidente dependerá de un correcto análisis e identificación previos y será en general más sencilla cuanto mejor sea su contención. > Por último, es necesario volver a la normalidad gracias a las actividades de recuperación una vez que la Organización haya contenido y erradicado el incidente. En esta fase es muy importante asegurar que la erradicación se ha ejecutado con éxito, y estar preparado para dar solución de manera más eficaz ante un mismo incidente. Visión actual para la gestión del riesgo La gestión del riesgo en materia de ciberseguridad en una Organización es difícil de abordar y en la cual los productos de ciberseguro deberán seguir jugando un papel fundamental. Si bien no resulta sencillo cuantificar los posibles impactos derivados de un incidente, el poder contar con un equipo de respuesta eficaz que permita asegurar una rápida contención de la amenaza se presenta como un elemento clave a la hora de asumir riesgos y asegurar activos clave de una Organización, puesto que más allá del potencial impacto que subyazca de todo ataque, se podrá situar una contraparte eficaz que mitigue (en la medida de lo posible) dicho impacto. Estamos hablando obviamente de los equipos de Respuesta a Incidentes de alto rendimiento, sobre el cual existen una serie de particularidades en su composición que merece la pena considerar. Comencemos por el principio; complementando el concepto de ciberseguridad citado anteriormente, este podría ser interpretado como una conjunción de tres elementos fundamentales: Protección, Detección y Respuesta. Pese a que este enfoque se acerca a un concepto axiomático, no parece que esté siendo suficientemente ágil nuestra aproximación al mismo si nos fijamos en las implementaciones reales de productos y servicios bajo un enfoque integrado. De la misma manera, existe una aproximación que indica que la seguridad no es un producto sino un proceso. Sin duda, debemos reevaluar continuamente la postura de seguridad ante un panorama de amenazas siempre cambiante. Si pasamos a un punto de vista táctico, la ciberseguridad puede interpretarse tanto como un producto como un proceso, no dejando de ser una conjunción de personas, procesos, tecnología e información. La

Actuarios

TEMA DE PORTADA // nº 48 // Primavera 2021

variable de cada dominio sería la proporcionalidad de cada uno de estos factores: > Los sistemas de Protección se apoyan fundamentalmente en tecnología, con cierto nivel de apoyo por parte de personas y procesos. > La Detección requiere proporciones más o menos iguales de personas, procesos y tecnología. > La Respuesta tiene un alto componente de personas, con una asistencia crítica de proceso y tecnología.

La Respuesta a Incidentes requiere de personas, puesto que la inteligencia humana que debe aplicarse resulta ser el factor diferencial

Cuando afrontas multitud de incidentes llegas a sacar una serie de conclusiones relevantes, y una de ellas es que, hoy en día, intentar automatizar de forma íntegra las actuaciones de Respuesta es algo complicado y poco eficaz. La red interna de cada Organización es diferente. Cada incidente, pese a tener nexos comunes en formato de campañas de ataque tiene una afección diferente. Los entornos de seguridad de cada organización son diferentes, así como la idiosincrasia de cada cual. Todas las Organizaciones son diferentes, y las consideraciones políticas y económicas suelen ser más importantes que las técnicas. La Respuesta a Incidentes requiere de personas, puesto que la inteligencia humana que debe aplicarse resulta ser el factor diferencial. Esto lo podemos interpretar como algo relativamente nuevo para la industria de la ciberseguridad, y debe traducirse en una percepción diferente de los servicios de Respuesta. Si prestamos atención a cómo se ha percibido la industria de ciberseguridad, uno de los problemas de los que adolece es aquel denominado como “Market lemons”. Este es un término prestado de slung económico el cual hace una analogía refiriéndose a un mercado en el que los compradores no pueden diferenciar entre los productos de calidad de otros que no lo son. En estos mercados, los productos mediocres desplazan a los productos

Actuarios

de calidad puesto que el precio es el factor de decisión, ya que no existe una forma efectiva de comprobar la calidad del producto (como por ejemplo antivirus, FW, IDSs, etc.) Una vez más la respuesta a incidentes se presenta como una práctica diferente, y es sensible (y mucho) al factor humano. Los mejores “productos” serán por tanto aquellos que cuenten con el mejor equipo humano, puesto que los compradores aquí sí podrán percibir la calidad en la interactuación con el producto. Bajo este enfoque, cobra aquí especial relevancia la premisa propuesta en su día por Lorrie Faith Cranor de que “los diseñadores de sistemas deberían diseñar sus sistemas para apoyar a los humanos en el proceso, con objeto de maximizar sus posibilidades de realizar con éxito sus funciones críticas para la seguridad”. La lectura que puede extraerse de todo este enfoque determinará por tanto que el equipo humano que ofrezca esa ansiada Respuesta a Incidentes será el mayor valor del proceso, y que toda aseguradora que pretenda defender su apetito al riesgo deberá de tener en consideración dicha casuística con el fin de abordar esta aventura con la mayor de las probabilidades de éxito. Nunca habrá una certeza de riesgo pseudo cero, pero sí la de abordar una contingencia bajo el mejor enfoque y con el mejor equipo. Reflexiones finales Paulatinamente, la estabilidad y prosperidad de nuestra sociedad tiene un mayor grado de dependencia de la seguridad y confiabilidad del ciberespacio, cualidades que pueden verse comprometidas por causas técnicas o agresiones deliberadas como las que hemos vivido estos días. Todo sabemos que no hay seguridad al cien por cien, pero sí es posible hacer que sea un poco más seguro. Para ello, la anticipación es clave; hay que ir por delante de los ciberataques: ser capaces de detectarlos y prevenirlos. Esto requiere continuidad y constancia en la vigilancia y, llegado el caso, efectividad en la respuesta. La lectura de las pautas anteriores no hace sino transmitir el mensaje de la clara necesidad de poner remedio a las carencias de las compañías aseguradoras en materia de ciberseguridad. El culpable nunca es la víctima (nuestros clientes), pero no puede obviarse que el hecho de no seguir unas adecuadas medidas y buenas prácticas puede tener como consecuencia que algunas de ellas –que tratan y almacenan

Primavera 2021 // nº 48 // TEMA DE PORTADA

en sus sistemas con información muy sensible para ellas mismas, sus empleados y sus clientes– se hayan visto comprometidas. El esfuerzo actual que se está realizando por los reguladores para armonizar normativas y concienciar sobre la verdadera relevancia que tienen los riesgos cibernéticos en las empresas aseguradoras motiva a que se realicen mayores esfuerzos por mejorar la preparación y flexibilidad de respuesta ante ataques informáticos. Así, una mayor concienciación, junto con los recientes cambios regulatorios, han propiciado que las compañías del sector seguros hayan ido realizando un mayor esfuerzo inversor en actividades de protección de su información y sus sistemas. Este aspecto, las hace, a su vez, más resistentes frente a ataques informáticos y más rápidas para recuperarse de su operatividad en caso de incidente. En la UE, distintas normativas generales (GDPR, Directiva NIS) regulan la obligatoriedad de notificar la existencia de brechas de seguridad en las organizaciones, así como su naturaleza, impacto, tipo de información afectada, etc. Esto es, las entidades aseguradoras, en caso de sufrir una brecha de seguridad, tienen la obligación de notificar dicha incidencia y, por tanto, es mucho mayor la notoriedad y alcance que puede darse al suceso. Asimismo, se contemplan sanciones para quienes no cumplan con su deber de protección de la información sensible mantenida en los sistemas corporativos, cuya sustracción o publicación pueda suponer un impacto negativo en la sociedad en general. Precisamente por regulaciones como estas, las compañías aseguradoras están viendo la necesidad de realizar un mayor esfuerzo en ciberseguridad, lo que se ha traducido no solo en mejores medidas técnicas, sino también en una mayor concienciación de sus empleados con el objetivo de evitar que el error humano pueda suponer una fuga de información o una vía de entrada para el malware. Otro indicador de esta situación es la contratación por parte de sus clientes de las llamadas ciberpólizas, consistentes en un seguro cibernético contratado para cubrirse por los daños que pueda ocasionarle un ataque informático que algunas de las compañías aseguradoras ya comercializan con éxito desde hace años. La proliferación de este tipo de seguros muestra una vez más que existe una mayor concienciación y aceptación de que la seguridad informática es una necesidad real para las empresas. La heterogeneidad y el cambiante escenario del estado de riesgo del ciberespacio suponen un desafío continuo para las compañías aseguradoras que son

clientes de Deloitte en los distintos países. Ninguna organización a título individual, por sí misma, dispone de todas las capacidades necesarias para garantizar su ciberseguridad ni tampoco los estados la del ciberespacio nacional. Por tanto, es nuestro deber como partner de confianza en Ciberseguridad trasladar a nuestros clientes que solo desde la mejora de las capacidades de detección y análisis de ciberamenazas, contar con diversas fuentes de ciberinteligencia, la cooperación y colaboración entre empresas del sector e incluso público–privada, la instauración de mecanismos ágiles de coordinación entre proveedores y la capacitación y especialización de los equipos humanos y tecnológicos de las propias aseguradoras y el fomento de la concienciación y educación en materia de ciberseguridad a todos los niveles: empleados, directivo, brokers, y sus propios asegurados se podrá alcanzar un nivel de seguridad acorde a un estado de riesgo conocido y controlado para atajar y minimizar el impacto de ciberataques. n

Deloitte hace referencia, individual o conjuntamente, a Deloitte Touche Tohmatsu Limited (“DTTL”) (private company limited by guarantee, de acuerdo con la legislación del Reino Unido), y a su red de firmas miembro y sus entidades asociadas. DTTL y cada una de sus firmas miembro son entidades con personalidad jurídica propia e independiente. DTTL (también denominada “Deloitte Global”) no presta servicios a clientes. Consulte la página http://www.deloitte.com/about si desea obtener una descripción detallada de DTTL y sus firmas miembro. Deloitte presta servicios de auditoría, consultoría, asesoramiento financiero, gestión del riesgo, tributación y otros servicios relacionados, a clientes públicos y privados en un amplio número de sectores. Con una red de firmas miembro interconectadas a escala global que se extiende por más de 150 países y territorios, Deloitte aporta las mejores capacidades y un servicio de máxima calidad a sus clientes, ofreciéndoles la ayuda que necesitan para abordar los complejos desafíos a los que se enfrentan. Los más de 225.000 profesionales de Deloitte han asumido el compromiso de crear un verdadero impacto. Esta publicación contiene exclusivamente información de carácter general, y ni Deloitte Touche Tohmatsu Limited, ni sus firmas miembro o entidades asociadas (conjuntamente, la “Red Deloitte”), pretenden, por medio de esta publicación, prestar un servicio o asesoramiento profesional. Antes de tomar cualquier decisión o adoptar cualquier medida que pueda afectar a su situación financiera o a su negocio, debe consultar con un asesor profesional cualificado. Ninguna entidad de la Red Deloitte será responsable de las pérdidas sufridas por cualquier persona que actúe basándose en esta publicación. © 2021 Deloitte, S.L.

Actuarios

TEMA DE PORTADA // nº 48 // Primavera 2021

La Comunicación de Crisis como garante reputacional Eduardo Fuentes // CEO de Grayling España.

Foto: iStock.com/Pinkypills

Los ciberdelitos salen muy caros a las empresas. Según un reciente informe de Kaspersky, una de las compañías con más experiencia en el sector de la lucha frente al malware y el cibercrimen, el coste de una brecha de datos en una pyme europea supera los 73.300 euros mientras que el de una gran empresa se estima en más de 691.000. Un impacto económico que puede verse multiplicado a efectos de consecuencias financieras y de reputación de la empresa u organismo de que se trate si no se informa adecuadamente tanto a públicos internos como externos sobre una brecha de seguridad de datos en el momento oportuno y a través de las vías oportunas. Y la situación se agrava aún más en un mundo en el que las redes sociales permiten compartir puntos de vista y opiniones a nivel mundial en cuestión de segundos, con lo que la reputación de una organización puede cambiar muy rápidamente gracias a un entorno en el que el contraste de fuentes no existe y con filtros de contenido menos estrictos –por no decir inexistentes– que los de los medios de comunicación tradicionales.

Actuarios

Para que la comunicación sea efectiva en tiempo y forma es clave contar con un protocolo de Comunicación de Crisis perfectamente estructurado que permita actuar ágilmente, y con unos portavoces solventes y bien formados a la hora de saber cómo comunicar durante y tras la crisis. Sufrir el menor menoscabo posible y, sobre todo, poder restaurar la imagen de la compañía tras haber sido dañada, dependen absolutamente de estos dos factores. El protocolo de Comunicación de Crisis es una herramienta fundamental de la que, desde nuestra experiencia como consultora, carecen –inexplicablemente– muchas compañías, especialmente del entorno de la pequeña y mediana empresa, aunque también se da la situación en un mayor número de grandes firmas del que sería de desear. Hablamos de un manual exhaustivo, una suerte de guía anticrisis, en el que han de identificarse los tipos de crisis a los que una empresa u organización puede estar expuesta (de procesos de producción, de producto, laboral, social, por regulaciones gubernamentales, financiera, por suplantación de identidad, por desastres naturales, por reclamaciones legales, etc.),

Primavera 2021 // nº 48 // TEMA DE PORTADA

así como sus características, morfología y nivel de gravedad. Ha de recoger también cómo ha de reaccionarse en cada caso, las medidas a adoptar, su prioridad y operativa, y quién (con nombre, apellidos y cargo) ha de encargarse de qué, tanto a nivel de comunicación interna (empleados) como externa (autoridades, medios, redes sociales y otros stakeholders). Se trata de un manual de extrema utilidad ya que, cuando estalla la crisis, la empresa se convierte de inmediato en un objetivo mediático y todas sus actuaciones sufren un efecto de amplificación. Tanto la compañía como sus máximos responsables –y capacidad de liderazgo– entran en el escrutinio general, tanto de sus propias plantillas y equipos (deben ser tomados como un público preferencial en toda situación de crisis), como de los públicos externos. El daño reputacional puede ser muy grave si no existe una clara asunción por parte de las responsabilidades derivadas de la misma y una gestión comunicativa transparente tanto de la crisis como de la eficacia de las medidas que se pongan en marcha para solventarla. Habrá que coordinar a la vez muchas áreas y actividades. Entre ellas, comunicar los hechos a los responsables oficiales competentes, localizar a las personas a contactar, evaluar la situación, preparar declaraciones, informar a los empleados, informar a las autoridades que corresponda, responder a los medios de comunicación, monitorizar prensa y redes sociales, recabar informes (internos y externos) y considerar vías de comunicación específicas con proveedores y clientes. Hablamos de un marco en el que las dos primeras horas que siguen al estallido de la crisis son fundamentales para controlar la situación. Hay que intentar, por todos los medios, que el problema no se magnifique, ni vía prensa, ni vía redes sociales, y contar con que los públicos internos (en muchos casos fuente de controversia si ejercen una portavocía para la que no están preparados o para la que no tienen autorización) estén informados y sean conscientes de su papel y responsabilidad. Si hay algo que tras más de 25 años de trayectoria profesional en el mundo de la Comunicación he aprendido es que el silencio no es rentable ni eficaz. En situaciones de crisis, menos. Si una empresa elije dar la callada por respuesta, es muy probable que la versión de “alguien que conoció los hechos” ocupe el lugar que debería ocupar la versión de la empresa. Y ese “alguien” puede ser cualquiera, incluso un competidor con intenciones poco solidarias. Pero contrarrestar ese silencio no debe entenderse como decir lo primero que se nos ocurra para salir del paso. En este punto, además del manual a que antes hacíamos referencia, es fundamental contar con unos

portavoces solventes, bien formados en materia de Comunicación de Crisis, y preferiblemente del primer cuadro directivo de la compañía, que darán la cara ante los diferentes públicos. El mantra: dar información tranquilizadora, de calidad, haciendo hincapié en los matices de precisión (que no se limite a una referencia a los hechos, sino que los explique) y dinamismo, lo que requiere a su vez la creación de diversos “puntos informativos” desde donde se suministra información y se atiende con rapidez las solicitudes de medios, poderes públicos, afectados, o, como comentábamos, los propios empleados de la compañía. Nunca, nunca, nunca, mentir o proporcionar información que no esté contrastada al cien por cien. La transparencia y la verdad (hasta donde se pueda contar) son clave en la resolución de una Comunicación de Crisis en la que, insisto, la empresa debe tomar la iniciativa y ofrecer de manera ágil, puntual y veraz su versión de los hechos como forma de evitar que la prensa o/y otros stakeholders magnifiquen la situación. Hay que proyectar una imagen de responsabilidad que, en definitiva, será una de las mejores vías para proteger su reputación. Porque todos somos conscientes de que una crisis puede darse; y las ligadas a ciberdelitos gozan además de un mayor umbral de comprensión por parte del público y del mercado. Pero una mala gestión, resolución o comunicación de esa crisis no es tan bien entendida ni perdonada. Es complicado dar métricas y cifras que permitan ver cuál es el daño real de una crisis. Pero sí hay indicadores de lo que puede generar una mala comunicación en este área. Si volvemos a los datos analizados por Kaspersky, las empresas que asumen la responsabilidad desde el primer momento suelen conseguir mitigar los daños. Los costes para las pymes que revelan una infracción se estiman en más de 76.500 euros, mientras que en los casos en los que la incidencia llega a los medios a través de una filtración estos daños superan los 127.000 euros. Ocurre lo mismo en las grandes empresas: las que informaron de manera proactiva sobre brechas de seguridad sufrieron un menor impacto financiero (28%) respecto a las que sufrieron una filtración posterior –más de 933.758 euros frente a cerca de 1.304.000 euros–. En cualquier caso, los costes reputacionales no pueden medirse. Como ya afirmó Warren Buffet, “Lleva 20 años construirse una reputación y 5 minutos destrozarla. Si piensas en ello, harás las cosas de forma diferente.” Hacer las cosas de forma diferente pasa, sin lugar a dudas, por estar preparados para afrontar una correcta Comunicación de Crisis. n

Actuarios

TEMA DE PORTADA // nº 48 // Primavera 2021

Foto: iStock.com/lucadp

Ocho lecciones aprendidas de un ciberataque combatido por MAPFRE Guillermo Llorente // Director Corporativo de Seguridad de MAPFRE

“MAPFRE tenía las medidas de seguridad adecuadas para hacer frente a ciberataques, lo que permitió actuar diligentemente y minimizar sus efectos y, además, lo hizo con una comunicación transparente con todos los grupos de interés.” Estos tres mensajes, que forman parte de las conclusiones de la investigación desarrollada por la Agencia Española de Protección de Datos, y su decisión consecuente de archivo de las actuaciones, ponen punto final a un episodio que no sabría calificar como negro o brillante, pero que, sin duda, ha sido el de mayor alto impacto, en términos de riesgo para la entidad, que ha vivido MAPFRE en su historia reciente. Todos conocemos las teorías de los cisnes negros, esos eventos de muy baja probabilidad de ocurrencia y muy alto impacto, y hasta algunos estamos cansados de leer sobre ellos, pero la mayoría de nosotros, aun-

Actuarios

que racionalmente los entendamos e incorporemos a nuestro discurso, emocional y personalmente, los mantenemos lejos como algo sobre lo que hay que trabajar, pero sin asumir que nos pueda suceder. Ello es resultado lógico de nuestra condición de seres humanos y por naturaleza positivos y optimistas ¿qué sería de nosotros si no lo fuéramos? quienes tratamos de alejar de nuestra mente y de nuestros pensamientos, aquellos más tristes o desagradables. Pero la realidad es tozuda, y el año 2020 será, para toda nuestra generación, buen ejemplo de ello, pues una pandemia global como la que atravesamos, con más de un año ya de persistencia, estará en los libros y en los modelos teóricos de riesgo. Era, sin duda, el cisne negro que todos nos negábamos a interiorizar y a asumir que nos podría pasar. En el caso de MAPFRE, en medio del sobrevuelo de ese cisne negro por todos vivido, sobrevino otro aún peor, un ciberataque de ransomware que afectó a miles de servidores y estaciones de trabajo en España, en el peor momento posible del año.

Primavera 2021 // nº 48 // TEMA DE PORTADA

¿Qué sucedió?

¿Como se reaccionó?

La noche del viernes 14 de agosto los sistemas informáticos de MAPFRE en España sufrieron el despliegue de un ransomware que cifró ficheros de miles de servidores y puestos de usuario Windows.

A las 21:04 Se lanzó la orden de cifrado de los equipos. Cualquier compañía de nuestro tamaño detecta y neutraliza cada día miles de ataques que de distintas maneras buscan acceder al interior de los sistemas. Con equipos testados y personas entrenadas, el Centro de Operaciones de Seguridad de Mapfre emitió la primera señal de alarma apenas siete minutos más tarde, a las 21.11h, desencadenando la activación del Comité Corporativo de Crisis, y los procesos de seguridad y tecnología previstos frente a este tipo de escenarios, entre ellos:

¿Qué es un ataque de ransomware? Atacantes utilizando diversas técnicas, acceden a una red, se expanden por ella desplegando un virus en equipos y servidores, y tras un tiempo dentro, mandan una orden de cifrado a los dispositivos a los que han alcanzado, imposibilitando el acceso a las aplicaciones y a la información contenida en dichos equipos, así como al uso de estos. ¿Cómo fue el ataque? Tras la laboriosa y detallada reconstrucción de los hechos, gracias al análisis forense, descubrimos que: Fue un ataque LARGAMENTE PREPARADO, los dominios (algo así como las direcciones de internet) que se utilizaron, fueron comprados un año antes del lanzamiento de la orden de cifrado. Fue un ataque muy PROFESIONAL y SOFISTICADO, en el que, junto a otras técnicas, los atacantes utilizaron herramientas de hacking de escalada de privilegios, no conocidas previamente en el mercado. Fue un ataque ESPECÍFICAMENTE DISEÑADO contra MAPFRE, los atacantes utilizaron y probaron diferentes versiones de virus, que fueron detectadas y bloqueadas por los sistemas de seguridad, hasta conseguir una versión del virus indetectable por la plataforma de seguridad. Fue un ataque REFORZADO por el entorno COVID, pues su impacto fue ampliamente favorecido por el hecho de que la empresa, como todas las que tuvieron capacidad, estaba funcionando con la mayoría de sus trabajadores en remoto. Fue un ataque ENORMEMENTE PRECISO para lograr el mayor impacto, lanzado en mitad del mes de agosto en España, fecha en que se concentra el mayor porcentaje de ciudadanos de vacaciones y, por tanto, uno de los periodos de mayor demanda de servicios de asistencia en carretera; y lanzado una noche de fin de semana, cuando menos personal hay de servicio en cualquier empresa. ¿Cómo empezó el ataque? A través de la captura, de las credenciales de acceso de un usuario a la red de MAPFRE, en su equipo personal previamente infectado.

Por muchas herramientas que despleguemos, al final, la seguridad depende de las personas, del usuario, del desarrollador. Debemos reforzar nuestra Cultura Corporativa de Seguridad

Contención del ataque mediante, entre otras, órdenes urgentes de apagado de los equipos, corte de comunicaciones con las entidades MAPFRE en otros países y terceras empresas, así como de aislamiento de nuestro Data Center Alternativo para caso de contingencia. Garantizar el Servicio a los clientes por procedimientos alternativos. Esa primera noche MAPFRE ya disponía de un refuerzo de personas y canales aislados que permitieron dar continuidad al servicio. Análisis Forense, elemento básico para entender que había pasado y como, así como el alcance de la afectación, y poder construir, desde ese conocimiento, tanto la respuesta al ataque, como la restauración de los sistemas. Restauración de los sistemas, orientada a la recuperación del servicio, sujeta a los requisitos de seguridad, y posibilitada por la calidad y seguridad del backup. Refuerzo, desplegando de forma urgente un conjunto de medidas y herramientas para robustecer el entorno de seguridad, prevenir, detectar y ganar en capacidad de respuesta, en caso de un nuevo ataque, tanto por el atacante inicial como por otros. Desgraciadamente, cuando se hacen públicas este tipo de situaciones, grupos de cibercriminales de todo el mun-

Actuarios

TEMA DE PORTADA // nº 48 // Primavera 2021

do, focalizan su atención sobre la compañía afectada, de forma similar a como hacen los tiburones cuando huelen la sangre. Comunicación, rápida y transparente a todos los grupos de interés e instituciones relacionadas. MAPFRE decidió actuar con plena transparencia desde el primer momento. Esa transparencia, de la que nos sentimos tan orgullos, también motivó, que reguladores y clientes del todo el mundo se dirigieran a nosotros interesándose por lo sucedido y obligando a un esfuerzo en la respuesta, muy significativo. Lecciones aprendidas Las lecciones aprendidas del ciberataque son muchas, tanto sobre lo que ha funcionado bien, como de los aspectos a mejorar, ya sean de carácter técnico como organizativo, pero hay algunas que creo oportuno resaltar:

Foto: iStock.com/DigtialStorm

> R iesgo de Ciberseguridad al alza: las amenazas son cada vez mayores y no van a desaparecer, por lo que debemos prepararnos para una nueva normalidad en la que los Ciberataques sofisticados contra nosotros se sucedan.

> N ingún Plan de Continuidad de Negocio, podrá responder a todos los escenarios posibles, pero disponer de ellos, actualizarlos y entrenar reiteradamente el sistema de gestión de crisis, es imprescindible. > El perímetro tradicional ha desaparecido y la identidad digital se ha convertido en el nuevo perímetro de las compañías, que hay que blindar. > Hay que aumentar la exigencia de cumplimiento de los “básicos” de seguridad a todos los entornos conectados a nuestra red. El símil de la fortaleza de la cadena está más que manido, pero, lamentablemente, sigue estando totalmente vigente. > Debemos reforzar nuestras capacidades de monitorización y respuesta. Tenemos que adaptarnos al nivel de sofisticación de la amenaza. La colaboración público –privada y privada– privada, se demuestra más necesaria que nunca. > No hay alternativa a la de integrar eficientemente la seguridad en los nuevos sistemas y aplicaciones. La seguridad debe ser parte nuclear del proceso de transformación de nuestras organizaciones y de nuestra sociedad. > Por muchas herramientas que despleguemos, al final, la seguridad depende de las personas, del usuario, del desarrollador. Debemos reforzar nuestra Cultura Corporativa de Seguridad. Hay que llevar la Seguridad al ADN de la compañía. > Cuando un ataque de este tipo sucede, los recursos ofrecidos y disponibles en el mercado pueden ser infinitos, pero la auténtica diferencia estará en la capacidad real previamente instalada, que establecerá cual es el límite de la capacidad de absorber recursos adicionales para gestionar esa crisis. Por último, y como colofón, permítanme trasladarles la que para mí ha sido también la gran lección aprendida del pasado año, y es la enorme resiliencia de MAPFRE, que no fue solamente capaz de afrontar con éxito la pandemia, sino que, adicionalmente, y en el peor momento posible, víspera del día más desafiante del año, fue capaz de responder y sobreponerse al peor ataque que hubiéramos podido imaginar, y seguir cumpliendo con su misión y el compromiso con sus clientes. Por ello, estoy convencido de que, aunque aquellas noches fueron negras, el futuro es brillante. n

Actuarios

Primavera 2021 // nº 48 // TEMA DE PORTADA

El seguro de Ciber es cada vez más una necesidad Verónica Jiménez // Head Cyber Insurance España (AON) Pablo Montoliu // Chief Information & Innovation Officer (AON) José J. Martínez // Universidad de Alcalá

Es indiscutible que la ciberseguridad se ha convertido en los últimos años en una de las mayores preocupaciones de las empresas, debido al incremento tan significativo de ciberataques sufridos durante las últimas dos décadas. El 2020 y la pandemia han afectado drásticamente la ciberseguridad y han impulsado un cambio significativo dentro de las organizaciones. Las restricciones gubernamentales han significado que una gran cantidad de empleados tengan que trabajar de forma remota a largo plazo y las empresas de todos los sectores han tenido que adaptarse para sobrevivir. Los ciberdelincuentes han aprovechado esta circunstancia para incrementar tanto el número como la sofisticación de los ataques. Casi podemos hablar de otra pandemia que ha irrumpido con más fuerza en estos momentos: ataque ransomware y el fraude por ingeniería social.

Internet es un entorno donde el fraude y el crimen organizado actúan más de lo que a menudo se percibe, aunque con herramientas diferentes a las tradicionales. Por ejemplo, es posible desarrollar estafas en cualquier red social utilizando ingeniería social y manipulación. Los ataques con programas maliciosos, los de denegación de servicios o los efectuados con ransomware son recursos que utiliza comúnmente el crimen organizado. Uno de los objetivos habituales de estos delincuentes son los datos, que tratan de robar o secuestrar a cambio de grandes sumas de dinero. Y, para lograr sus objetivos, se valen de las vulnerabilidades en los sistemas informáticos de las empresas. No obstante, también hay que tener en cuenta la ingeniería social mencionada. Los propios empleados de una compañía pueden convertirse en un punto débil si carecen de la formación adecuada. Adicionalmente, trabajar de forma remota crea una gran variedad de problemas de seguridad, por ejemplo, acceder a archivos de trabajo y completar tareas en dispositivos personales o redes domesticas es muy peligroso. Por otra parte, es más probable que el personal que trabaja de forma remota utilice los dispositivos corporativos para realizar actividades personales, como compra online, navegación por internet o

Figura 1: Causa de siniestros Data breach 5% Data theft 8% Social engineering 19%

Denial of Service Interruption 2%

Intrusion or manipulation of systems or data 18% Ransomware, virus, malware 26%

IT system failure 12% Others violation of privacy law 9%

Fuente: Data Analytics Aon.

Actuarios

TEMA DE PORTADA // nº 48 // Primavera 2021

transacciones financieras, lo que también significa un riesgo para las empresas, ya que amplían el área de amenaza para que los cibercriminales la exploten. Aunque no son las únicas formas de ataque, sí que podemos afirmar que son las que más impactan en la siniestralidad de las pólizas, tal y como se ve en el gráfico a continuación, donde el ataque malicioso, el fraude por ingeniería social y el robo o la manipulación de datos, constituyen casi el 80% de los siniestros sufridos y los que generan mayor impacto económico. En España empezamos a vivir en nuestras propias carnes ataques ransomware muy conocidos como Wannacry, not petya o ryuk, si bien no fue hasta finales de 2020 y principios del 2021 cuando hemos empezado a observar ataques con impactos económicos muy significativos en empresas españolas.

Desde 2012, año que se firma en España la primera póliza Cyber, hasta ahora, los condicionados han ido cambiando conforme las coberturas han ido evolucionando para adaptarse a nuevos escenarios bajo el riesgo cibernético Todos estos ataques han tenido también un impacto sobre el mercado asegurador, por dos motivos principales, el primero y más directo, es que muchas de las empresas que han sufrido estos ataques tenían contratadas pólizas de ciberriesgo que han asumido la mayor parte de las pérdidas ocasionadas, y el segundo motivo, es que las previsiones de los expertos de ciberseguridad indican que el 2021 vamos a continuar con “más de lo mismo” o si esperamos algún cambio será hacía una sofisticación y gravedad de los ataques. Por un lado, el ransomware con exfiltración de información seguirá marcando el paso en el día a día de los ciberataques, y en algunos casos, combinado con la doble extorsión de la publicación de la información exfiltrada. Desde 2012, año que se firma en España la primera póliza Cyber, hasta ahora, los condicionados han ido cambiando conforme las coberturas han ido evolucionando para adaptarse a nuevos escenarios bajo el riesgo cibernético. El objeto principal de los ciberseguros es mitigar el impacto económico de pérdidas y gastos varios que

Actuarios

se generan al sufrir un incidente crítico –impacto que puede ser pérdida y gastos propios, de terceros o por causa regulatoria–, a la vez que ayudan a la empresa a gestionar estos incidentes mitigando asimismo la pérdida reputacional con los servicios que el asegurador pone a disposición del asegurado para la respuesta/ gestión de incidentes. Las coberturas del seguro se dividen en tres bloques principales: > S ervicios de asistencia o respuesta ante incidentes: Se cubre los costes y gastos para gestionar el incidente y sus consecuencias. Fundamentalmente, gastos forenses de investigación, gastos de reconstrucción de datos, gastos de respuesta a afectados por un compromiso de datos personales (notificación, establecimiento de call centers, servicios de monitorización de crédito, seguros de robo de identidad, etc.) y gastos de publicidad/gestión de crisis mediática en caso de que el incidente aparezca en los medios de comunicación y con la finalidad de minimizar el daño a la imagen del asegurado. > Daños propios: pérdida de ingresos o extracostes derivados de daño inmaterial o gastos en caso de extorsión cibernética. > Responsabilidad civil frente a terceros: daños, perjuicios y gastos de defensa frente a reclamaciones de afectados por una violación de datos o por los perjuicios sufridos a consecuencia de una quiebra en la seguridad de los sistemas. > Procedimientos regulatorios: En caso de un compromiso de datos personales, si el regulador abre una investigación formal, la póliza cubre los costes y gastos de asesoramiento legal de las personas que deban comparecer, así como también, la posible sanción administrativa. Durante los primeros años, y hasta el año 2020, hemos visto que las compañías estaban dispuestas a mejorar el alcance de las pólizas, ampliando coberturas: Ampliación de la Pérdida de beneficios a fallos de sistema, por pérdida de confianza de los clientes tras un ciber ataque; Transferencias fraudulentas, Cupones descuento, etc. Este tipo de pólizas sigue evolucionando, pues tengamos en cuenta que un siniestro cyber también puede afectar a pólizas tradicionales como D&O, Responsabilidad Civil Profesional, Todo Riesgo Daños Materiales, Transportes, etc. Cada vez toma más peso el “Silent Cyber” y se están incluyendo exclusiones espe-

Primavera 2021 // nº 48 // TEMA DE PORTADA

cíficas de eventos cibernéticos en el resto de los ramos de seguros, es decir, el mercado asegurador cada vez tiene más definido que las consecuencias económicas de un evento cyber se quieren cubrir a través de una póliza específica. Lamentablemente los tiempos de gloria donde existía exceso de capacidad, mucha competencia y precios competitivos en el mercado español para la contratación del seguro han pasado, y desde enero de 2021 estamos observando las consecuencias de todos los cambios que hemos estado comentando, así como la siniestralidad que se está produciendo. Las aseguradoras han tenido que tomar medidas drásticas para rentabilizar el ramo y que continúe siendo una línea viable en el tiempo. Estas medidas son comunes a todas las aseguradoras y dentro de ellas destacamos:

final sucede el ciberincidente, es necesario contar con una póliza que compense las pérdidas y contribuya a la sostenibilidad del negocio. Por tanto, el seguro debe verse como parte de un enfoque integrado de ciberseguridad. Invertir en seguro no reducirá el riesgo de sufrir un ciberataque, sin embargo, es importante recordar que la mayoría de las herramientas de ciberseguridad son medidas preventivas y las empresas deben revisar también que medidas de respuesta a incidentes tienen implementadas y que dichas medidas funcionen en el desafortunado caso de sufrir una brecha de seguridad. Es en este punto, donde el seguro cada vez toma mas peso y se convierte en una de las soluciones de mitigación y respuesta frente a un ciberataque, siendo una pieza fundamental que ayuda a cerrar el círculo de la gestión del riesgo cibernético. Hace unos años la frase más escuchada y repetida era “hay dos tipos de empresas, las que han sufrido un ataque y las que lo van a sufrir”, hoy en día, esta afirmación no se pone en duda, ni tampoco que el seguro de Ciber ha dejado de ser un “capricho” para ser una necesidad para las empresas. n

> I ncremento significativo en tasas y franquicias. > Suscripción muy rigurosa, cada vez se exige más información a los asegurados. > Reducción de la capacidad: hay aseguradores que se han retirado y los que siguen suscribiendo han reducido la capacidad disponible. > Modificaciones en las cláusulas, que afectan principalmente a dos de las coberturas que se han visto gravemente impactadas por los siniestros: extorsión cibernética y pérdida de beneficios derivada de un fallo de seguridad. > Se incluyen nuevas exclusiones como consecuencia de la siniestralidad tramitada.

> D esde la Ciberseguridad, como enfoque preventivo. Ninguna empresa tiene un sistema informático infalible y todas establecen ya sus presupuestos económicos para invertir en protección de sistemas y los equipos de Seguridad. > Desde el cumplimiento normativo, en cuanto a que la legislación cada vez es más severa: el Nuevo Reglamento en materia de protección de datos establece nuevas obligaciones frente a un compromiso de datos y eleva el importe de la sanción más grave; así como la Ley de Sociedades de Capital establece que el riesgo tecnológico es un riesgo de negocio y como tal es competencia de la alta dirección tomar parte activa en su gestión. > Desde el programa de seguros ciber entendido este como una herramienta de mitigación: si al

Foto: iStock.com/Sergey Shulgin

Las empresas gestionan el riesgo cibernético desde 3 perspectivas sin dejar de lado ninguna de ellas:

Actuarios

TEMA DE PORTADA // nº 48 // Primavera 2021

Ciber… riesgos, también para las aseguradoras Mª Ángeles Navarro Bas // Actuario de Seguros y coordinadora de Estudios de INESE Data.

el Barómetro de Riesgos de AGCS1. Este informe, que identifica los principales riesgos corporativos tras consultar a más de 2.700 expertos en gestión de riesgos de todo el mundo, sitúa los riesgos cibernéticos a la cabeza de la clasificación en España y en tercera posición en el ranking global, solamente por detrás de interrupción de negocio y de los derivados de una pandemia.

En estos tiempos de pandemia que estamos viviendo, en los que nos encontramos más que nunca ciberconectados y donde gran parte de los contactos con empresas, clientes, proveedores o usuarios se realizan a través de la red, la exposición al riesgo cibernético de las empresas se ve incrementada. La directora del Centro Nacional de Inteligencia (CNI), Paz Esteban, reconocía a finales de noviembre que los ciberataques durante la pandemia habían registrado un aumento “cualitativo y cuantitativo”. La directiva precisó que, si bien no se aprecian nuevos riesgos, la crisis ha sido un “potenciador” de las tendencias. No es de extrañar que la ciberseguridad y la protección de datos hayan escalado en las listas de potenciales riesgos y preocupaciones que afrontan las empresas. Buen ejemplo de esta situación la encontramos en Foto: iStock.com/voyager624

El papel del Seguro El sector asegurador, experto en el manejo de los riesgos y, entre ellos, el riesgo cibernético, permite su transferencia con la suscripción de ciberseguros. Pero las aseguradoras también son empresas que, al igual que ocurre en otros sectores, se encuentran expuestas. Para conocer con más detalle las vulnerabilidades que pueden presentar en su entorno digital, en INESE Data hemos realizado el estudio ‘Análisis de la exposición de activos digitales de las aseguradoras a los ciberriesgos’2, en colaboración con Lazarus. Nuestro partner es una compañía que tiene uno de los mayores laboratorios de Europa dedicados a seguridad, continuidad de negocio e informática forense. Con un equipo forense experto, tanto en incidentes de ciberriesgo como en investigación tradicional, Lazarus ha realizado un análisis no intrusivo a los sites corporativos de 178 compañías aseguradoras que operan en el mercado español que es la base de este estudio. Este análisis se ha estructurado en los siguientes puntos: > M apa general de la infraestructura, donde se expone la relación entre la IP y el dominio; dominios alojados en el servidor; emails corporativos; subdominios asociados a dicho dominio. > Listado de puertos abiertos en su servidor. > Listado de vulnerabilidades asociadas a la página web y al lenguaje-tecnología/servidor/BBDD.

1 AGCS, ‘Allianz Risk Barometer’, enero 2021. https://www.agcs. allianz.com/news-and-insights/reports/allianz-risk-barometer.html 2 INESE Data y Lazarus, ‘Análisis de la exposición de activos digitales de las aseguradoras a los ciberriesgos’. https://www.inese.es/estu dio /analisis-de-la-exposicion-de-activos-digitales-de-las-asegurado ras-a-los-ciberriesgos/

Actuarios

Primavera 2021 // nº 48 // TEMA DE PORTADA

> E mails comprometidos por credenciales expuestas o comprometidas en fuentes conocidas. > Emails identificados como sospechosos. > Información relevante sobre el certificado SSL Una vez obtenida la información de los quince parámetros que han sido evaluados, se han podido detectar las vulnerabilidades que se encuentran en el servidor y en la web; la reputación de los emails corporativos; las credenciales y/o cuentas asociadas al email que podrían haber sido robadas; la situación del certificado SSL; la reputación del dominio principal y la reputación de la IP asociada al dominio principal. Finalmente, en base a los problemas encontrados y mediante algoritmos, se ha elaborado una lista de recomendaciones y correcciones para efectuar en la compañía. Tras el análisis particular de las 178 aseguradoras, de las que finalmente se han obtenido 187 dominios, ya que algunas compañías tenían asociado más de uno, se ha agregado la información de manera que nos ha permitido extraer conclusiones generales extrapolables al sector asegurador, de las que destacamos: > E l 74% de los dominios analizados comparte hosting con otro u otros servidores, lo que supone un riesgo para las webs alojadas en ellos. Cuantos más dominios comparten hospedaje, más riesgo. Figura 1: Dominios analizados Dominios NO comparten DNS A 9% CDN 17%

Dominios comparten DNS A 74% Fuente: INESE Data.

> E l 97,3% de los dominios tienen subdominios. Cuantos más subdominios, más frentes abiertos

a posibles ataques. Según se destaca desde Lazarus, si bien los dominios suelen estar bien securizados, no ocurre igual con los subdominios; es ahí donde suelen estar las vulnerabilidades. > De todos los emails localizados, el 6,4% tiene baja reputación, según los algoritmos de Lazarus. Esta situación puede indicar que algo no va bien para esas compañías. Figura 2: Reputación emails compañías Con 1 o más email baja reputación 6,42%

Sin emails baja reputación 93,58% Fuente: INESE Data.

Pero más preocupante es que de la mitad de los dominios analizados, concretamente el 52,4%, ha sufrido filtración en sus emails corporativos. Se trata de credenciales robadas y/o cuentas en plataformas externas asociadas a dichos emails que han sido vulneradas y constituyen un riesgo para la empresa. > E n el 75% de los dominios analizados se han hallado vulnerabilidades en sus webs. El número oscila entre 2 y más de 800. Y dos datos más para el desasosiego: las vulnerabilidades son críticas en el 8,5% de los casos y algunas de ellas datan de 2007. > Los algoritmos de Lazarus basados en diversos parámetros analizados han calificado con un nivel de reputación general bajo al 0,53% de los dominios de las aseguradoras, al 28,9% con un nivel medio, y al 68% con un nivel alto. > El nivel de seguridad global, que permite obtener una visión general de la seguridad de los activos digitales, califica como bajo al 41% de los dominios analizados, que corresponde a

Actuarios

TEMA DE PORTADA // nº 48 // Primavera 2021

Figura 3: Vulnerabilidades en websites Sin vulnerabilidades detectadas 24,60%

Figura 4: Nivel de seguridad general aseguradoras Alta 0,107

Baja 0,4118

Media 0,4813 Con 2 o más vulnerabilidades 75,40% Fuente: INESE Data.

77 compañías del informe. Como reconoció Manuel Huerta, CEO de Lazarus, en la presentación del informe3, “es un dato muy llamativo. Un 10% sería lo esperado. Pensábamos que este tipo de compañías tendría esto mejor re-

suelto, pero nos ha sorprendido hasta a nosotros”, argumenta. Como se puede ver, las aseguradoras adolecen de los mismos problemas que cualquier otra empresa y deben estar atentas a estos riesgos, que pueden ocasionar un daño reputacional y económico considerable, además de dejar a la entidad afectada operativamente fuera de juego durante muchos días o semanas, algo que difícilmente se pueden permitir. Tienen más información sobre el estudio ‘Análisis de la exposición de activos digitales de las aseguradoras a los ciberriesgos’ en el área de estudios de inese.es. n Foto: iStock.com/metamorworks

3 Cristina García, responsable de INESE Data, y Manuel Huerta, CEO de Lazarus. Webinar ‘Vulnerabilidades de las aseguradoras en materia de ciberriesgos’. https://youtu.be/hO03ca1FEuc

Fuente: INESE Data.

Actuarios

Primavera 2021 // nº 48 // TEMA DE PORTADA

Valor del Dato: Seguridad, Privacidad y Ética Rafael Fernández Campos // Chief Data Officer Bankia. Presidente Club de CDOs de España

Una de las consecuencias de la Transformación Digital ha sido el cambio de los modelos de producción y consumo en multitud de industrias, dentro de lo que se ha dado en denominar la Economía Digital. En este contexto, uno de los mantras más felizmente acogidos por los foros ha sido aquel que habla de los datos como de un activo generador de valor. Si un activo es un bien o un derecho susceptible de generar un beneficio futuro, en este caso parece que sí, que los datos deberían encajar en esta definición y por tanto ser considerados un activo. Sin embargo, nos encontramos con un pequeño problema de compleja resolución: ¿qué valor tiene ese activo? ¿cómo podemos calcular los flujos futuros de valor generados gracias a los datos? En este sentido, pasa con los datos algo parecido a lo que sucede con el talento o con la reputación: hay consenso en considerar que un mayor talento y una mejor reputación generan valor para una compañía, pero resulta difícil saber cuánto. Sin embargo, conocer ese cuánto debería ser uno de los principales deberes de los que nos dedicamos a gestionar datos, so pena de convertirnos en paradojas andantes: responsables de datos que no saben calcular el valor de lo que gestionan. Como decía Lord Kelvin: “lo que no se define no se puede medir; lo que no se mide no se puede mejorar; lo que no se mejora se degrada siempre”. Poco se ha escrito sobre el asunto, por lo que el libro “El Valor del Dato”, escrito en colaboración con Javier Martínez Rodríguez, supone un punto de partida para abordar el problema de la valoración de los datos. La esencia de la metodología descrita en el volumen es la siguiente: A. Cálculo del Valor Interno de los Datos (base 100): 1. Descripción detallada del proceso que siguen los datos desde su captura hasta su monetización, en tres fases: datos, usos de los datos e indicadores estratégicos de la compañía. El proceso relaciona los datos con los usos (linaje)

y los usos con los indicadores (Relevancia Estratégica). 2. Inventario de todos los datos con sus respectivas mediciones de calidad. 3. Inventario de los casos de uso con sus respectivas mediciones de utilidad, así como la identificación de los datos empleados en cada uso. 4. Desglose de la estrategia en una serie de indicadores o métricas, cada una de las cuales ha de contar con sus respectivas relaciones con todos los casos de uso que persiguen su cumplimiento.

Esta metodología nos acerca a un cálculo aproximado del valor que soy capaz de generar con mis datos o, dicho de otra forma, qué parte de mi capitalización se la debo a los datos B. Cálculo del Valor Monetario Interno de los Datos (unidades monetarias) 1. Análisis del valor real generado por acciones informacionales concretas, unido a su impacto en el Valor Interno de los Datos. 2. Descuento de flujos del valor generado, durante el tiempo de influencia de la acción, con el fin de establecer un rango de valor actual asociado a la gestión con datos. Esta metodología nos acerca a un cálculo aproximado del valor que soy capaz de generar con mis datos o, dicho de otra forma, qué parte de mi capitalización se la debo a los datos. Sin embargo, el hecho de contar con esta métrica es casi la menos relevante de las aplicaciones de este valor. Otras consecuencias de disponer de un cálculo como el descrito son: > P osibilidad de comparar y priorizar las diferentes acciones informacionales de una compañía

Actuarios

TEMA DE PORTADA // nº 48 // Primavera 2021

> >

sobre la base de una medida homogénea: priorizar las acciones que aportan más valor. Mayor eficiencia en la asignación presupuestaria a los proyectos tecnológicos. Ayuda en la generación de compromiso de parte de los intervinientes en toda la cadena de valor, a través de la demostración del valor generado por sus acciones. Descubrimiento de los procesos informacionales más relevantes en términos de generación de valor: datos más relevantes y usos más relevantes, que apoyan la consecución de los indicadores estratégicos que mayor valor generan. Cálculo del valor de las barreras de entrada con datos. Valoración de nuevos modelos de negocio basados en datos: descubrimiento de nuevas estrategias o negocios basados en mis fortalezas en la gestión de datos.

Una gestión de datos despreocupada de la ciberseguridad, del respeto a la privacidad y de la ética en el uso de los datos, verá comprometido todo el valor generado por el uso de la materia prima digital, es decir, de los datos En esta cadena de valor del dato, tal como ha quedado descrita, hasta ahora no me he referido a los riesgos inherentes a la gestión de datos, y lo cierto es que éstos pueden tener un impacto dramático en la generación de valor de una compañía, tanto desde el punto de vista directo (sanciones, multas…), como indirecto (riesgo reputacional…). Entre estos riesgos asociados a la gestión de datos hay tres a los que me referiré a continuación: seguridad, privacidad y ética de los datos. Tradicionalmente, el mayor riesgo que los ciudadanos asociábamos al mundo digital era la posibilidad de un robo de claves o una suplantación de identidad. Estas preocupaciones relacionadas con la seguridad de nuestros datos se han ido ampliando a la realización de cualquier acto con un fin delictivo: robo de dinero, de datos, de identidad, estafa, extorsión, espionaje, ataques informáticos para bloquear páginas webs o pedir rescates…

Actuarios

El paso del tiempo ha ido ampliando el perímetro de nuestras preocupaciones hacia la privacidad. A medida que hemos tomado conciencia de la ingente cantidad de información que donamos altruistamente a los gigantes tecnológicos como Facebook, Amazon o Google, se ha ido materializando la posibilidad de que nuestros datos personales sean hechos públicos o utilizados para fines que, aun dentro de la legalidad, constituyan una invasión de nuestra intimidad, no aceptada por nosotros. La preocupación social por este asunto provocó la creación de leyes que garantizaran la privacidad de nuestros datos, bien es cierto que, con grandes diferencias entre países, incluso dentro del mundo occidental. La última de nuestras preocupaciones, la ética en el uso de los datos, es aún un asunto reservado a una minoría de conocedores de las implicaciones éticas de la utilización de las nuevas tecnologías. Hablamos de cuestiones como la discriminación de las minorías, el engaño, la promoción de adicciones, el comercio de datos, etc. Aunque ya son muchas las organizaciones, tanto organismos públicos como empresas privadas, que se han puesto manos a la obra para diseñar decálogos de buenas prácticas acerca del uso ético de los datos, lo cierto es que la sociedad aún no ha dado el paso de interiorizarlo como un riesgo adicional al de la privacidad y la seguridad. En realidad, estos tres riesgos se encuentran íntimamente relacionados. No habrá ética del dato si no se respeta la privacidad de los datos personales. Del mismo modo, difícilmente seremos capaces de garantizar la privacidad de los datos si existen brechas de seguridad que puedan conllevar un robo de datos personales. Adicionalmente, hay algo que tienen en común los tres: un evento de riesgo en cualquiera de ellos supondrá una erosión del valor de la compañía, pérdida que debe verse reflejada en el cálculo del valor de los datos a través de nuestra cadena de valor del dato. Ciertamente, una gestión de datos despreocupada de la ciberseguridad, del respeto a la privacidad y de la ética en el uso de los datos, verá comprometido todo el valor generado por el uso de la materia prima digital, es decir, de los datos. En este sentido, una de las principales discusiones que nos ha traído la problemática sobre la privacidad de los datos personales es la posibilidad de pagar a los clientes o usuarios por el uso de sus datos personales. Entendamos el término pagar en sentido amplio: descuentos, tokens, ofertas, servicios adicionales, etc.

Primavera 2021 // nº 48 // TEMA DE PORTADA

La cuestión es la siguiente: si los datos son de los clientes, quizá estos deban recibir una remuneración por parte de las compañías que obtienen réditos de la gestión de sus datos. Pero en todo este asunto, ¿cómo puede ayudarnos el cálculo del valor del dato? Veamos, la cuestión no es solo si debería pagarse a los clientes, sino cuánto debería pagarse. Para ello, como hemos visto, este pago tendría que tener relación con el valor que obtenemos de la utilización de dichos datos. El uso de los datos personales, incluso de forma anonimizada, es utilísimo para multitud de fines: recomendaciones de productos personalizadas, previsiones de demanda, detección de fraudes, blanqueo de capitales, riesgos de quiebra… Si los clientes no nos conceden su permiso para el uso de sus datos, claramente la compañía generará algoritmos de peor calidad y no podrá dirigir sus esfuerzos comerciales de forma óptima. Pero, ¿cuánto valor perdemos? Si disponemos de un mapa de datos-usos-valor, tal como se describe en el libro, seremos capaces de calcular qué atributos, dentro de los datos de los clientes, son los que nos ayudan a generar un mayor valor. De esta forma, al relacionar datos concretos con generación de valor, podemos aproximarnos a un cálculo del valor que cada dato personal aporta y,

por tanto, fijar un rango de pago por el uso de datos personales. Obviamente, existen múltiples consideraciones que hacer al respecto, como que el dato de una única persona no es valioso en sí mismo, sino en el conjunto de un segmento mucho mayor, o que la acumulación de datos hace que la aportación marginal del último dato sea mínima y además muy variable, o que, sin otros factores como el talento y la tecnología, no será posible obtener valor de los datos.

Si no disponemos de un indicador objetivo, de una medida concreta de valor, andaremos a ciegas en la gestión de nuestros datos y estaremos condenados a la ineficiencia de nuestra gestión y, lo que es peor, ni siquiera lo sabremos ni lo podremos cuantificar Ahora bien, hay algo que no se puede negar: si no disponemos de un indicador objetivo, de una medida concreta de valor, andaremos a ciegas en la gestión de nuestros datos y estaremos condenados a la ineficiencia de nuestra gestión y, lo que es peor, ni siquiera lo sabremos ni lo podremos cuantificar. Es por este motivo por el que el cálculo del valor de los datos se convierte, en nuestra opinión, en una ventaja competitiva en la nueva economía digital, donde la gestión de una materia prima tan valiosa y, a su vez, tan sujeta a riesgos, se convierte en factor clave de generación de valor en todas las industrias. n

PARA SABER MÁS • Fernández, Rafael y Martínez, Javier (2020),

El Valor del Dato.

• Laney, Doug (2017), Infonomics. • Fernández, Rafael (2019) ¿Le contarías a tus

clientes cómo usas sus datos? (www.blogbankia.es/es/blog/uso-datos-clientes.html)

Actuarios

TEMA DE PORTADA // nº 48 // Primavera 2021

El difícil equilibrio entre riesgo y oportunidad en el contexto blockchain David Arroyo Guardeño // Grupo de investigación en Criptología y Seguridad de la Información. Instituto de Tecnologías Físicas y de la Información. Consejo Superior de Investigaciones Científicas (CSIC)

Las tecnologías de registro distribuido (DLT), cuya expresión más conocida es la blockchain, se han ido postulando como la solución a un grueso muy significativo de los grandes problemas del espacio cibernético. Los casos de aplicación más conocidos abarcan la digitalización del dinero (criptomonedas y otro tipo de criptoactivos), el seguimiento de productos y mercancía en cadenas de suministros (como realiza el sistema Tradelens de IBM y Moller-Maerks para la logística de contenedores de mercancía), la notarización de títulos académicos (e.g., los sistemas desplegados por parte de algunas universidades españolas), certificados oficiales u otros documentos (donde encontramos Stampery o Guardtime). Si bien en su origen blockchain fue desplegándose al hilo de una suerte de corriente contracultural, lo cierto es que paulatinamente ha ido ganando terreno en el ámbito institucional. Así, es de especial relevancia la iniciativa The European Blockchain Services Infraestructure (EBSI), entre cuyos objetivos figura el impulso del estudio (y eventual implementación) de casos de usos de interés para blockchain y de relevancia para la ciudadanía europea. De esta forma, y en el tenor de la sentencia de Schopenhauer sobre la aceptación de “una nueva verdad”, blockchain ha pasado del rechazo frontal tras su aparición, a la ridiculización por suponer una tecnología ineficiente (considérese el tono jocoso de los comentarios sobre la compra de dos pizzas por 10 000 bitcoins en 2010), a recibir el apoyo de una institución como la Comisión Europea. A pesar del entusiasmo en su adopción, las DLTs presentan una serie de limitaciones y disfuncionalidades que pueden poner en riesgo la sostenibilidad del ecosistema digital. En muchas ocasiones se confunde el uso de DLT como un medio al servicio de la resolución de un problema, con su adopción como fin en sí mismo. Son múltiples los casos de aplicación de DLT que llevan a forzar determinadas asunciones y requisitos sobre el contexto de operación. El estado de desarrollo de la tecnología DLT hace que, al ser aplicada en

Actuarios

problemas complejos, acabe convirtiéndose en parte del problema sin aportar una ventaja objetiva sobre planteamientos tecnológicos previos, maduros y ampliamente adoptados en la industria. Es más, el uso de tecnologías que no garanticen una buena experiencia de usuario puede desembocar en su desprestigio y, finalmente, en el rechazo por parte de sus potenciales receptores. El no garantizar un despliegue de soluciones estables, escalables y robustas puede derivar en una quiebra de la confianza del ciudadano respecto a la tecnología. De ser así, nos encontraríamos en la situación paradójica de que la “máquina de la confianza” (como a veces se nombra a la DLT) no goza del crédito de sus potenciales usuarios. ¿Por qué entonces adoptamos DLT o deberíamos hacerlo? Una ventaja de estas tecnologías es que proporcionan un medio de almacenamiento de evidencias que es resistente frente posibles manipulaciones. En el caso de DLTs en las que no todos los usuarios pueden escribir y leer la información almacenada, el estudio pormenorizado de las características de ese medio de almacenamiento pone de relieve toda una metodología de control de acceso y de autorización cuya importancia se extiende muchos más allá de la misma DLT. Este medio permitiría revisar todo el conjunto de acciones efectuadas en un cierto entorno de colaboración, lo que facilitaría la puesta en marcha de procesos de auditoría, así como de procedimientos de depuración de responsabilidad. Por otro lado, la aparición en su momento de Bitcoin permitió integrar todo eso conjunto de tecnologías en un producto de alto impacto y transcendencia social. La criptografía asimétrica y las funciones hash, combinadas con una red de comunicación entre pares, permiten generar un esquema colaborativo basado en una suerte de interés común tutelado por restricciones algorítmicas y de cómputo. Bitcoin, de este modo, consigue crear un marco de confianza algorítmico que permite eludir la necesidad de bancos centrales para el intercambio de dinero. Más tarde, con la aparición de Ethereum, surge la primera concreción con éxito de los denominados contratos inteligentes o smart contracts. Al margen de lo preciso de su consideración como contratos y su cualificación como inteligentes, los smart contracts permiten almacenar código ejecutable en una DLT, de forma que, si se dan ciertas condiciones,

Primavera 2021 // nº 48 // TEMA DE PORTADA

dicho código (que es incorruptible gracias a la inviolabilidad del medio de persistencia representando por la DLT) se ejecuta automáticamente. Así, la ocurrencia de una serie de condiciones garantiza la ejecución de código software y la consiguiente acción sin que exista intervención humana. La inviolabilidad de la DLT como medio de almacenamiento, así como la automatización de la toma de decisión mediante contratos inteligentes, en efecto, pueden constituirse en pilares de nuevos esquemas de gobernanza digital. Pero ello ha de llevarse a término teniendo en cuenta que tal gobernanza no surge única y exclusivamente de la absorción de toda modalidad de gobernanza en términos de gobernanza algorítmica. Dicho de otro modo, y yendo más allá –o más acá– de Lawrence Lessig, conviene evitar los cantos de sirena del pensamiento analógico, y no caer en la tentación de asumir acríticamente isomorfismos entre código software y código normativo/jurídico. Hemos de tener bien presente que pueden darse circunstancias contingentes que, por ejemplo, obliguen a modificar la inmutabilidad de una blockchain o una DLT para resolver algún problema (como ocurrió en 2016 con TheDao). En estas coyunturas ha de existir un marco de gobernanza corporativo, institucional o social que defina de modo claro y evidente el tipo de decisiones a tomar, así como los responsables de las mismas. Estas reglas han de ser conocidas por un conjunto representativo de los actores de un ecosistema DLT, ya que lo contrario erosionaría el supuesto espíritu de transparencia de esta tecnología. Es más, esas reglas deben determinar el marco de restricciones para consensuar la escritura de información en una DLT. Este marco demanda la correcta formalización de los distintos algoritmos de consenso y los protocolos de comunicación correspondientes. Por otro lado, la gobernanza algorítmica determinada por la DLT es muy dependiente de la fiabilidad de sus protocolos y procesos. Como todo software, los contratos inteligentes tienen vulnerabilidades que deben ser debidamente contempladas, de acuerdo con modelos de atacante suficientemente precisos, y con vistas a acercarse al principio maximalista de “seguridad por diseño y por defecto”. Y no solo seguridad y robustez, sino que también se debe proteger el acceso a datos personales sensibles cuya explotación por parte de terceros puede implicar fallas de privacidad. Los criterios maximalistas (derecho al olvido, minimización de datos, seguridad por defecto, etc.) deben ser debidamente dimensionados de acuerdo con las posibilidades de la tecnología, las necesidades del ámbito de aplicación y perceptivas restricciones legales o nor-

mativas. Soluciones avanzadas de criptografía pueden contribuir a minimizar el volumen de datos a compartir en procesos de verificación de contenido, así como a reforzar la protección de la identidad mediante modalidades adecuadas de anonimato que hagan factible tanto la detección de abusos en la utilización de la tecnología, como su personalización para cada tipo de usuario de cara a desplegar estrategias de fidelización.

La inviolabilidad de la DLT como medio de almacenamiento, así como la automatización de la toma de decisión mediante contratos inteligentes, en efecto, pueden constituirse en pilares de nuevos esquemas de gobernanza digital La contribución de la DLT y la blockchain a la gestión del ciberriesgo pasa por afrontar de modo exhaustivo sus riesgos tecnológicos y legales, lo que supone la puesta en marcha de una hoja de ruta con un pathos tecnológico y otro jurídico. Ambos deben articularse de modo solidario (tal que vasos comunicantes), de forma discursiva y con una fuerte componente pedagógica. Hace falta desarrollar curricula universitarios y de postgrado que abarquen comprehensivamente las disciplinas de la ingeniería criptográfica, las comunicaciones en sistemas asíncronos y las tecnologías de consenso y confianza digital. Al mismo tiempo, el derecho digital y las ciencias sociales y humanidades deben nutrirse de egresados universitarios con capacidad de innovar en el plano normativo-jurídico, en consonancia con las modalidades y ritmos ínsitos en la construcción del sujeto e instituciones sociales en el actual mundo ciberfísico. Unos y otros no deben olvidar que en el centro de sus esfuerzos y denuedos está el ser humano, ese ente (Dasein) que aspira a ser ciudadano y sin el cual las instituciones devienen en un esclerótico complejo institucional carente de la savia de lo instituyente. La aceptación institucional y por parte del público de la DLT se presenta, pues, como una gran oportunidad (una estancia de ese Laboratorium possibilis Salutis de Ernst Bloch) para emprender el diseño de una sólida estrategia en pos del ansiado caso de éxito en la gobernanza digital mediante la des-intermediación y la des-centralización de la configuración y toma de decisiones. n

Actuarios

TEMA DE PORTADA // nº 48 // Primavera 2021

La España sanitaria, ciber-atacada Manuel Pérez // Director de Ciberriesgos (Howden Iberia, S.A.U.) José J. Martínez // Universidad de Alcalá

Una portada de ABC del 14 de enero de 2018 dedicaba accidentalmente un reflejo del estado de la ciberseguridad en nuestro país. El titular mostraba un “España reclutará dos mil hackers contra las ciberamenazas”, reconociendo así una contingencia de escala nacional y la consecuente respuesta que se pretendía dar ante tal peligro. El problema de aquella portada, motivo por el cual se hizo tan popular ayer y hoy en este artículo, es que la imagen de fondo tras ese titular mostraba lo que parecía ser un profesional de sonido más que un cracker. La reflexión entonces quedaría resumida en que España conoce que tiene un problema en este ámbito y que está decidida a ponerle una solución, pero que lamentablemente acaba fallando en el análisis y enfoque de esta ansiada y necesaria respuesta.

Sin preparación, planificación e inversión en ciberseguridad, es cuestión de tiempo que veamos más pantallas bloqueadas en oficinas, más megafonías pidiendo que se apaguen los ordenadores y más noticias sobre nuevos ataques que paralizan a nuestras empresas, sin importar tamaño ni condición Años más tarde, la situación ha cambiado, pero ni mucho menos se ha revertido. De nuevo, frente a cientos de ataques cibernéticos diarios, seguimos haciendo gala de nuestro ya conocido internacionalmente “mañana, mañana”, y es esa procrastinación la que nos hace seguir en el podio de la condena digital a nivel global. Claro ejemplo de este fenómeno han sido los continuos ataques a entidades relacionadas con el sector salud en este 2020, mientras muchos siguen preguntándose el porqué. Según leemos y oímos a expertos informar que todo es debido a la intención oscura del cracker en dirigir sus ataques sobre las entidades sanitarias, dada la alta dependencia que tiene la sociedad para con ellas debido a la presente pandemia, volvemos a menospreciar a la figura

Actuarios

del ciber-delincuente y a recurrir a argumentos manidos basados en películas americanas sobre el cracker y su amor por el caos. Ya en los mejores cines. Está claro que los datos son el nuevo oro. Y tras la llegada del Reglamento General de Protección de Datos, sabemos que dentro de esta etiqueta, los datos sobre la salud de los usuarios ocupan una categoría superior en cuanto a la sensibilidad de esta información. Dicho esto, y siendo conscientes del gran valor que tendría esta categoría para los ciberdelincuentes de todo el mundo, no podemos olvidar una nueva variable de la ecuación: ¿Cuánto ha aumentado el valor de estos datos médicos durante la pandemia del Covid-19? ¿Cuánto más con la carrera por una vacuna que ha tenido en vilo a personas de todos los rincones del mundo? Reflexionemos un momento sobre qué información sobre pacientes pueden contener las bases de datos de un grupo hospitalario. Hagamos lo mismo con la cartera de clientes de seguro de salud de un asegurador. ¿Qué información encontraríamos?: diagnósticos, número de positivos, días de internamiento, tratamientos seguidos, respuesta ante esos tratamientos, efectos del virus, efectos secundarios tras pasar la enfermedad… y un buen número de etcéteras. Introduzcamos ahora estos datos en una herramienta de tratamiento que sea capaz de sacar conclusiones sobre el conjunto. ¿Qué información tenemos delante?: Porcentaje de positivos por el total de pruebas realizadas, soluciones más efectivas, patrones comunes de síntomas y efectos secundarios, respuesta de los pacientes a tratamientos… una información de alto valor para ofrecerla en el mercado negro de la Deep Web y sacar un notable rendimiento económico por su venta. Una venta que siguiendo esta explicación se podría efectuar en varias ocasiones y con sencilla rapidez, ya que no debemos olvidar que el dinero, una vez gastado, se elimina, pero los datos una vez vendidos, pueden volverse a vender. De ahí su etiqueta del “nuevo oro”. Conocedores de este gran negocio, los crackers de todo el mundo han apuntado sus tácticas fraudulentas hacia aquellas entidades que pueden tener esta información, desde hospitales a clínicas, pasando por aseguradores del ramo de la salud. En cuestión de semanas vemos a hospitales bloqueados y a dos aseguradores líderes en sector salud con sus sistemas en jaque. La carrera por los datos había comenzado, y a España la habían pillado buscando fotos de técnicos de sonido en Google.

Primavera 2021 // nº 48 // TEMA DE PORTADA

Un nivel de respuesta notable de estas entidades y sus proveedores de ciberseguridad, dejaron a día de hoy estos ataques en una simple anécdota, pero las barbas del vecino ya se han cortado, y seguimos echando de menos acciones que impidan un remojo inevitable en las demás firmas que comparten el sector. Los que estamos dentro del sector compartimos que el proceso de “evangelización” sobre la ciberseguridad en nuestro país se está haciendo más largo de la cuenta, y que seguimos dándonos de bruces con presupuestos limitados, desconocimiento en la materia por parte de la dirección general y con el ya tan nuestro “mañana, mañana”. Sin preparación, planificación e inversión en ciberseguridad, es cuestión de tiempo que veamos más pantallas bloqueadas en oficinas, más megafonías pidiendo que se apaguen los ordenadores y más noticias sobre nuevos ataques que paralizan a nuestras empresas, sin importar tamaño ni condición. Parte de esta preparación pasa por la contratación de seguros de ciberriesgos. Este tipo de contratos garantiza la transferencia de este riesgo y cada vez más, están equipados con amplias redes de colaboradores en materia de respuesta a incidentes y asesores legales en brechas de datos que se ponen a disposición del asegurado de forma permanente (24/7) du-

rante el periodo de póliza acordado. Nacidos a partir de las antiguas pólizas de Protección de Datos, estos seguros han ido evolucionando para incluir coberturas de daños propios a la víctima del ciberataque, que pasan desde la indemnización de los costes de recuperación de sistemas y accesos, hasta la pérdida del beneficio perdido durante la interrupción. Todo ello contando con las coberturas propias de responsabilidad civil con terceros afectados tras el incidente (en el caso que veíamos antes, los propios pacientes o clientes cuyos datos son revelados), así como las posibles repercusiones en materia de investigaciones y sanciones de la AEPD. Retomando el aspecto de esa planificación necesaria en este riesgo, el bróker de seguros adquiere incluso una responsabilidad mayor de la que acostumbra, ya que debe inmiscuirse en la recuperación del incidente para ayudar al cliente a dar los pasos recomendados para resolver el evento y más tarde, ser indemnizado por el asegurador. Esta ayuda se vuelve vital en estas situaciones. En conclusión, tardamos años en construir una buena reputación, y en los últimos años parece que basta un click para arruinarla. Ya que conocemos el problema y sabemos que debemos ponerle solución, trabajemos en cómo enfocar la respuesta y preparémonos para lo que se supone, será la siguiente gran guerra. n

Foto: iStock.com/metamorworks

Actuarios

LA ADMINISTRACIÓN CONTESTA // nº 48 // Primavera 2021

Sentencia Tribunal Supremo sobre ciberriesgo Isabel Casares San José-Marti // Economista, Actuario de Seguros y Asesora Actuarial y de Riesgos

Resumen En Madrid, a 8 de julio de 2020. Sentencia del Tribunal Supremo 2898/2020. Sala de lo Penal de Madrid. Recursos de casación por quebrantamiento de forma, infracción de ley e infracción de precepto constitucional contra sentencia dictada por la Audiencia Provincial de Barcelona, Sección Séptima, que les condenó por delitos de descubrimiento y revelación de secretos de particular, los componentes de la Sala Segunda del Tribunal Supremo que al margen se expresan se han constituido para la votación y fallo bajo la Presidencia del primero de los indicados, siendo también parte el Ministerio Fiscal y estando dichos recurrentes acusados.

Antecedentes de hecho PRIMERO.- La Audiencia Provincial de Barcelona, Sección Séptima, con fecha 28 de mayo de 2018 dictó sentencia que contiene los siguientes hechos probados: “Mediante la prueba practicada en el acto del juicio oral ha resultado probado, y así se declara, lo siguiente:

Actuarios

APARTADO A: Con la finalidad de obtener datos reservados de carácter tributario relativos a personas físicas o jurídicas fundamentalmente residenciadas en el País Vasco, y a fin de facilitarlos a terceros a cambio de una remuneración, XXX, ya fallecido y a quien no afecta esta resolución, entró en contacto con Juan Luis, mayor de edad y sin antecedentes penales, a la sazón funcionario –en el Departamento de Hacienda y Finanzas de la Diputación Foral de Vizcaya, autorizado para consultar la base de datos de dicho organismo. Conforme a las peticiones que XXX le realizaba, Juan Luis realizó las operaciones que a continuación se describen, teniendo conocimiento de su carácter ilícito y de que carecía de autorización de los titulares de los datos facilitando los datos a XXX: 1°) El día 26 de junio de 2006, realizó 8 accesos a datos tributarios de la base de Departamento de Hacienda y Finanzas de la Diputación Foral de Vizcaya relativos a D. Dimas, datos comprensivos de retenciones de pagadores, relaciones de autoliquidaciones y declaraciones presentadas, activos financieros, compras y ventas de vehículos, y catastro. 2°) El día ocho de marzo de 2007 realizó 9 accesos a datos de D. Gregorio. 3°) El 3 de noviembre de 2009, realizó 12 accesos a la base sobre información tributaria de D. Urbano. Seguidamente entregó a XXX un documento impreso desde la base de datos conteniendo, además del domicilio y DNI, datos de retenciones de trabajo, empresa o entidad pagadora y las cantidades. 4°) El 3 de noviembre de 2011, realizó 9 accesos a datos tributarios de D. Luis Ángel. 5°) El día 20 de febrero de 2012, realizó 8 accesos a datos tributarios de Dña. Melisa. 6°) El día 13 de enero de 2011, realizó 2 accesos a datos tributarios de Dña. Rosana. 7°) El día 9 de noviembre de 2011, facilitó datos del domicilio de D. Félix, indicándole la empresa para la que trabajaba y el domicilio de esta empresa, información que en ese mismo instante iba leyendo de la base de datos de la Hacienda Foral de Vizcaya. 8°) El día 17 de noviembre de 2010 realizó 4 accesos a datos tributarios de la entidad “Bittel XXI,

Primavera 2021 // nº 48 // LA ADMINISTRACIÓN CONTESTA

S.L.” y otros tantos a datos de la entidad “Moelec Siglo XXI, S.L.”. 9°) El día 27 de octubre de 2011, accedió a los datos tributarios de “Damaqui 2009, S.L.” y en 3 ocasiones a datos de “Telmo Maradari, S.L.” No consta que facilitara a alguna persona dato alguno de estas entidades. APARTADO B: Don Jesús Carlos, mayor de edad, sin antecedentes penales, funcionario del Cuerpo Técnico de Hacienda que desde el 15 de marzo de 2010 ejerce sus funciones en la Unidad de Planificación y Selección, aprovechando el acceso de que disponía a las bases de datos tributarias de la Agencia Estatal de la Administración Tributaria, realizó las operaciones que a continuación se describen, teniendo conocimiento de su carácter ilícito, y de que carecía de autorización de los titulares de los datos, obteniendo una información tributaria que después cedió a persona no determinada, de forma tal que directa o indirectamente los datos terminaron en poder de D. XXX, quien se dedicaba a su comercialización mediante precio: 1°) El día 4 de febrero de 2010 accedió a la base de datos de la AEAT del contribuyente “Gasóleos Carpovi, S.L.L.”, haciendo impresiones de datos sobre el modelo 347 de operaciones con terceros del ejercicio 2009. 2°) El día 20 de mayo de 2011 accedió a la base de datos de la AEAT de la contribuyente Dña. Marina. La información comprende empresas pagadoras de salarios, retenciones, cuentas bancarias, resultado de la declaración del IRPF de 2009 y préstamos hipotecarios de 2010 y 2011. 3°) El 16 de enero de 2012, accedió a la base de datos de la AEAT del contribuyente “Diques y Muelles, S.L.”, haciendo impresiones de datos sobre el modelo 347 de operaciones con terceros del ejercicio 2010. 4°) El 16 de enero de 2012, accedió a la base de datos de la AEAT del contribuyente “Promociones y Conciertos Inmobiliarios S.A.”, haciendo impresiones de datos sobre el modelo 347 de operaciones con terceros del ejercicio 2010. 5°) El día 1 de febrero de 2012, accedió a la base de datos de la AEAT del contribuyente “Lugarce, S.L.”, haciendo impresiones de datos sobre el modelo 347 de operaciones con terceros del ejercicio 2009. 6°) El día 1 de febrero de 2012, accedió a la base de datos de la AEAT del contribuyente “Unión Hostelería Esba, S.L. haciendo impresiones de

datos sobre el modelo 347 de operaciones con terceros del ejercicio 2010. 7°) El 1 de febrero de 2012 accedió a la base de datos de la AEAT del contribuyente “Nuevas Técnicas Químicas, S.L.”, haciendo impresiones de datos sobre el modelo 347 de operaciones con terceros del ejercicio 2010. 8°) El día 20 de enero de 2012 accedió a la base de datos de la AEAT del contribuyente D. Ruperto, comprensiva de la declaración de IRPF de 2010, con todos los datos que la misma incluye, haciendo impresiones de la misma. 9°) El 29 de abril de 2011, accedió a la base de datos de la AEAT del contribuyente Farmaegara, SL, comprensiva de la declaración de operaciones con terceros del ejercicio 2010. 10°) El 20 de marzo de 2012 accedió a la base de datos de la AEAT del contribuyente “Media to Barter, S.L.”, comprensiva de la declaración de operaciones con terceros del ejercicio 2010, haciendo impresiones de la misma. APARTADO C: Don Jesús María, mayor de edad, sin antecedentes penales, abusando de su condición de funcionario del Servicio de Vigilancia Aduanera de la Agencia Estatal Tributaria (AEAT) con destino en Barcelona y de su autorización para consultar la base de datos de dicho organismo, contraviniendo los deberes propios de su puesto de trabajo y teniendo perfecto conocimiento de la ilicitud de su proceder, accedía a la misma mediante su código de usuario y contraseña personal obteniendo y transmitiendo a terceros el resultado de las siguientes consultas, cuyo resultado directa o indirectamente era remitido a XXX a cambio de un precio: 1°) El día 24 de octubre de 2011 accedió a los datos de “Urkunde, S.A.” y “Sumcab Catalunya, S.L.”, obteniendo datos de operaciones con terceros (modelo 347). 2°) Los días 2 y 3 de noviembre de 2011 accedió a los datos tributarios de D. Edemiro, datos consistentes en percepciones por trabajo, ingresos, relación de compras y ventas, relación de fondos de inversión y cuentas corrientes. 3°) El 1 de diciembre de 2011 accedió a los datos de Dña. Nuria, comprensivos de imputaciones de rentas de trabajo, fondos de inversión, cuentas bancarias, préstamos hipotecarios, planes de pensiones. 4°) El cinco de marzo de 2012 realizó múltiples accesos a los datos tributarios de D. Fernando, comprensivos, entre otros, de datos identifi-

Actuarios

LA ADMINISTRACIÓN CONTESTA // nº 48 // Primavera 2021

cativos, liquidaciones tributarias, retribuciones percibidas, fondos de inversión y relación de cuentas bancarias. 5°) El día 22 de marzo de 2012 accedió a los datos tributarios de D. Gines, comprensivos de percepciones de trabajo, cuentas bancarias, transmisiones patrimoniales, imputación de rentas de capital y operaciones con terceros. 6°) El día 22 de marzo de 2012 accedió a los datos tributarios de D. Ignacio, comprensivos de percepciones de rentas de trabajo, imputaciones de fondos de inversión, imputaciones de rentas del capital, cuentas bancarias y operaciones con terceros. APARTADO D: 1°) En fecha 10 de noviembre de 2011, D. Patricio, mayor de edad, sin antecedentes penales, funcionario en activo de la Guardia Civil con destino en Álava, previa solicitud que al efecto le hizo D. Gonzalo, mayor de edad y sin antecedentes penales, accedió, él mismo o por medio tercero a su ruego, a una base de datos pública no identificada y obtuvo los datos de matrícula del vehículo que obraba registrado a nombre de Dña. Covadonga, tratándose de un Renault Megane. Seguidamente, telefoneó a D. Gonzalo y le proporcionó esta información, coche, matrícula y titular. Así mismo, en conversación de ese mismo día informó a D. Gonzalo que no constaba vehículo a nombre de D. Juan Enrique. No se ha acreditado que D. Patricio percibiera cantidad alguna por esta información. APARTADO E: Con la finalidad de obtener de modo ilícito y para su comercialización datos reservados personales y laborales, tales como la historia laboral o la situación actual laboral, el fallecido D. XXX los solicitaba a Dña. Eugenia, quién en parte los obtenía a través de D. Alfonso o a través de otros intermediarios, que a su vez los extraían de bases oficiales de la Seguridad Social a través de sus respectivos informadores, sin que en relación con los hechos se haya podido determinar qué concreto funcionario o funcionarios contravinieron los deberes propios de su puesto de trabajo a los efectos de obtener y transmitir a aquéllos el resultado de las consultas solicitadas. En la mayor parte de los casos, sin que se pueda precisar en cuántos, Dña. Eugenia logró estos datos mediante la intermediación de D. Alfonso, que percibía una remuneración variable, que oscilaba sobre los 35 euros por cada persona cuyos datos facilitaba. Por la venta de estos datos a D. XXX, Dña. Eugenia percibía una cantidad variable que promediaba los 40 euros por persona. APARTADO G: 1°) En virtud de un encargo que le hizo D. XXX a finales de octubre de 2011, Dña. Victoria; mayor de edad, sin antecedentes, penales, investiga-

Actuarios

dora privada de profesión, consiguió de funcionario no identificado de la Seguridad Social los datos laborales de Dña. María Luisa, -datos que comprendían períodos de alta, domicilio, lugar de trabajo actual, así como el nombre de su empleador. SEGUNDO.- La Audiencia de instancia dictó el siguiente pronunciamiento: FALLAMOS: “PRIMERO. Condenamos a D. Juan Luis, como autor de cinco delitos de descubrimiento y revelación de secretos, ya descritos, sin concurrencia de circunstancias modificativas de la responsabilidad criminal, a las penas, por cada uno de ellos, de tres años y medio de prisión e inhabilitación absoluta por plazo de seis años. Así mismo, deberá abonar 51.334 partes de las costas procesales causadas, incluyendo las originadas a la acusación particular. Conforme al art. 76.1 del Código Penal, el máximo de cumplimiento efectivo de la condena no podrá exceder del triple del tiempo por el que se impone la más grave de las penas, lo que supone diez años y seis meses de prisión, declarándose extinguidas las que exceden de dicho máximo. Absolvemos a D. Juan Luis de otros seis delitos de delitos de descubrimiento y revelación de. secretos y del delito continuado de cohecho por los que era acusado, declarando de oficio las costas causadas por estas acusaciones. SEGUNDO. Condenamos a D. Jesús Carlos, como autor de dos delitos de descubrimiento y revelación de secretos, ya definidos, sin concurrencia de circunstancias modificativas de la responsabilidad criminal, a las penas, por cada uno de ellos, de tres años y seis meses de prisión e inhabilitación absoluta por plazo de seis años. Y como autor de un delito, continuado de revelación de secretos de particular, ya definido, sin concurrencia de circunstancias modificativas de la responsabilidad criminal, a las penas de tres años de prisión, multa de 15 meses y con responsabilidad personal subsidiara de un día de privación de libertad por cada dos cuotas de multa que no satisfaga, y suspensión de empleo o cargo público por tiempo de dos años. Así mismo, deberá abonar 31.334 partes de las costas procesales causadas, incluyendo las originadas a la acusación particular. Absolvemos a D. Jesús Carlos de otros delitos de descubrimiento y revelación de secretos y del delito continuado de cohecho por los que era acusado, declarando de oficio las costas causadas por estas acusaciones. TERCERO. Condenamos a D. Jesús María, como autor de cinco delitos de descubrimiento y revelación de secretos, ya definidos, sin concurrencia de circunstancias modificativas de la responsabilidad criminal, a las penas, por cada uno de ellos, de tres años y seis meses de pri-

Primavera 2021 // nº 48 // LA ADMINISTRACIÓN CONTESTA

sión e inhabilitación absoluta por plazo de seis años. Y como autor de un delito continuado de revelación de secretos de particular, ya definido, sin concurrencia de circunstancias modificativas de la responsabilidad criminal, a las penas de tres años de prisión, multa de 15 meses, con cuota diaria de seis euros y con responsabilidad personal subsidiara de un día de privación de libertad por cada dos cuotas de multa que no satisfaga, y suspensión de empleo o cargo público por tiempo de dos años. Así mismo, deberá abonar 3/334 partes de las costas procesales causadas, incluyendo las originadas a la acusación particular. El máximo de cumplimiento efectivo de la condena no podrá exceder del triple del tiempo por el que se impone la más grave de las penas, lo que supone diez años y seis meses de prisión, declarándose extinguidas las que exceden de dicho máximo. Absolvemos a D. Jesús María de los restantes delitos de delitos de descubrimiento y revelación de secretos y del delito de cohecho por los que era acusado, declarando de oficio las costas causadas por estas acusaciones. CUARTO. Condenamos a Dña. Eugenia, como responsable en concepto de inductora de once delitos de descubrimiento y revelación de secretos, ya definidos, sin concurrencia de circunstancias modificativas de la responsabilidad criminal, a las penas, por cada uno de los delitos, de tres años y seis meses de prisión, con la accesoria de inhabilitación especial para el ejercicio del derecho de sufragio pasivo, y comiso de la cantidad de 440€. Además, deberá abonar 111.334 partes de las costas procesales causadas. El máximo de cumplimiento efectivo de la condena no podrá exceder del triple del tiempo por el que se impone la más grave de las penas, lo que supone diez años y seis meses de prisión, declarándose extinguidas las que exceden de dicho máximo. Absolvemos a Dña. Eugenia de los restantes ciento ocho delitos de delitos de descubrimiento y revelación de secretos por los que era acusada, declarando de oficio las costas generadas por estas acusaciones. Absolvemos a: D. Andrés de los veintiún delitos de delitos de descubrimiento y revelación de secretos y del delito de continuado cohecho por los que era acusado. D. Benito de los nueve delitos de delitos de descubrimiento y revelación de secretos y del delito continuado de cohecho por los que era acusado. D. Alfonso de los ciento dieciséis delitos de delitosde descubrimiento y revelación de secretos por los que era acusado. D. Gonzalo de los ocho delitos de delitos de descubrimiento y revelación de secretos y del delito continuado de cohecho por los que era acusado. D. Patricio de los cinco de delitos de descubrimien-

to y revelación de secretos y del delito continuado de cohecho por los que era acusado. D. Jose Ignacio del delito de descubrimiento y revelación de secretos, por el que era acusado. Dña. Victoria de los seis delitos de delitos de descubrimiento y revelación de secretos por los que era acusada”. Fundamentos de Derecho Es objeto del presente recurso de casación el interpuesto por los recurrentes Jesús María, Juan Luis, Jesús Carlos y Eugenia contra sentencia de fecha 28 de mayo de 2018, dictada por la Sección Séptima de la Audiencia Provincial de Barcelona. Se desestiman todos los motivos, excepto los siguientes: Recurrente Jesús María. Al amparo del artículo 852 de la LECRIM denuncia vulneración del derecho a la tutela judicial efectiva, pues entiende que se ha vulnerado el principio acusatorio y que la sentencia es incongruente. El motivo se estima. Al amparo del artículo 849 primero de la LECRIM denuncia infracción de ley del artículo 417.2 del código penal. El motivo se estima. Recurrente Juan Luis. Al amparo del artículo 849 primero de la LECRIM denuncia vulneración de los artículos 123 y 124 del Código Penal. Señala el recurrente que la ausencia de la petición concreta de la condena en costas por la acusación particular no puede ser subsanada por el Ministerio Fiscal y se exige en todo caso que la acusación particular ha de pedir la condena en costas dado que cuando se limita a adherirse a las conclusiones definitivas del Ministerio Fiscal ello no puede suplir ni subsanar la petición que sólo corresponde a dicha acusación. El motivo se estima. Recurrente Jesús Carlos. Al amparo del artículo 852 de la LECRIM denuncia vulneración del principio acusatorio. El motivo se estima. Fallo DECLARAR HABER LUGAR PARCIALMENTE a los recursos de casación interpuestos por las representaciones de los acusados Jesús María, con estimación de sus motivos 1 bis y número 4; del motivo número 7 del acusado Juan Luis y del motivo número 4 del acusado Jesús Carlos; y, en su virtud, casamos y anulamos la sentencia dictada por la Audiencia Provincial de Barcelona, Sección séptima, de fecha 28 de mayo de 2018, en causa seguida contra los anteriores acusados y otros por delitos de descubrimiento y revelación de secretos y revelación de secretos de particular. n

Actuarios

ESPACIO ACTUARIAL // nº 48 // Primavera 2021

¿Qué motivos te llevaron a ser actuaria? Soy licenciada en ciencias físicas por la Universidad de Barcelona y mi último curso lo hice en Lausana, Suiza. Allí supe que se impartía el Master en ciencias actuariales en la Universidad de Lausana y que podía acceder directamente después de mis estudios en ciencias físicas, así que decidí apuntarme. Mi padre es actuario y gracias a él ya conocía este ámbito profesional. Al poco tiempo de empezar el Master supe que había tomado la buena decisión ya que encontré un balance perfecto entre las ciencias exactas y las ciencias sociales, dos de mis mayores intereses. ¿Qué elementos consideras clave en la formación de los actuarios? Creo que la formación en aspectos matemáticos para el tratamiento de datos y modelización, así como el aprendizaje de lenguajes de programación equipan al actuario con un razonamiento lógico, estructurado y con la capacidad de interpretar resultados y conceptos que resultan muy abstractos para una gran mayoría de personas. También, desarrollar un pensamiento crítico y ético me parecen fundamentales en la formación.

ENTREVISTA

CRISTINA LLORET Actuario

¿Cómo ves el futuro de la profesión? Creo que la profesión de actuario va a ser cada vez más variada dado que hay una tendencia creciente a que el actuario contribuya en ámbitos profesionales en los que antes no lo hacía. El rápido desarrollo de la inteligencia artificial, el “big data” o la emergencia de nuevos riesgos como los riesgos asociados al cambio climático han demostrado la necesidad y los beneficios asociados a que los actuarios trabajen en estos nuevos ámbitos. Tú estudiaste en la universidad de Lausana, y has tenido que pasar por el procedimiento de reconocimiento de las cualificaciones profesionales por ser una profesión regulada en España. ¿Cómo fue este proceso? Presenté mi solicitud al Ministerio de Economía y Empresa y este inició los trámites en estrecha colaboración con el Instituto de Actuarios Españoles y en coordinación con la DGSFP. Decidieron que para

Actuarios

Primavera 2021 // nº 48 // ESPACIO ACTUARIAL

poder reconocer mis cualificaciones en España debía superar un examen sobre legislación española esencial para el ejercicio de la profesión de actuario. El Instituto de Actuarios Españoles en coordinación con la DGSFP, determinó los contenidos y la organización del examen. Una vez superado el examen se acordó el reconocimiento del título. A lo largo de todo el proceso se mantuvo una excelente comunicación y una muy buena colaboración. Tuviste que hacer un examen para obtener el reconocimiento de la cualificación profesional. ¿Cómo fue la experiencia? Hubo momentos un poco estresantes ya que la aparición del coronavirus impedía la realización del examen en formato presencial tal como se había planificado. Ese fue un momento clave en el que el Instituto de Actuarios Españoles junto con el Ministerio y la DGSP mostraron una gran flexibilidad ya que se hizo un gran esfuerzo para reprogramar el formato del examen de tal manera que se pudo llevar a cabo digitalmente. Al mismo tiempo, el examen en sí supuso un reto para el Instituto de Actuarios Españoles ya que era el primer caso de estas características que se presentaba. A pesar de eso, fue una muy buena experiencia. El contenido del examen me permitió poder demostrar los conocimientos adquiridos y la corrección posterior fue muy rápida. ¿Cómo es el ejercicio profesional en un organismo internacional como la OIT? Los actuarios que trabajamos en la OIT apoyamos técnicamente a los países para por una parte asegurar la sostenibilidad financiera de los sistemas de seguridad social y por otra para garantizar que las prestaciones sociales cumplan con el objetivo social para las que se crearon y sean adecuadas y relevantes para la población. Eres de Barcelona, resides en Suiza, y te has colegiado en el Instituto de Actuarios Españoles. ¿Te planteas volver a España? En la actualidad, las perspectivas laborales que tengo en Suiza son buenas y después de muchos años viviendo aquí, he construido amistades muy valiosas. Pertenecer al Instituto de Actuarios Españoles es para

mí un medio para poder establecer contacto con otros actuarios españoles, tener oportunidades para permanecer al corriente de los avances en la profesión y para que si un día tengo razones de peso para volver sea más fácil mi integración laboral en el mercado español. ¿Qué haces cuando no ejerces de actuaria? Cuando no ejerzo de actuaria ejerzo de mamá de dos niñas preciosas de dos años y medio y ocho meses respectivamente. En invierno nos gusta ir a la montaña a jugar con la nieve. Mi hija mayor ya ha experimentado lo divertido que es tirarse en trineo. Y cuando hace buen tiempo nos encanta ir a pasear por el lago y si hace calor bañarnos.

Los actuarios que trabajamos en la OIT apoyamos técnicamente a los países para por una parte asegurar la sostenibilidad financiera de los sistemas de seguridad social y por otra para garantizar que las prestaciones sociales cumplan con el objetivo social para las que se crearon y sean adecuadas y relevantes para la población Acabamos las entrevistas pidiendo la opinión del entrevistado sobre cuál es el mayor riesgo para España en el corto y largo plazo, ¿y cuál es la mayor oportunidad? El mayor riesgo a corto plazo es superar las consecuencias de la pandemia actual y proporcionar las vacunas y las medidas necesarias para una solución al problema sanitario, social y laboral. Por otra parte, a más largo plazo será necesario hacer frente el importante endeudamiento actual del país, restablecer la confianza en el sistema productivo y proporcionar una solución efectiva al paro, en especial al paro juvenil. La mayor oportunidad es la de considerar que se trata de un país con suficientes recursos, excelente clima y con una población joven bien preparada para entrar en el proceso productivo, siempre que se le den oportunidades reales. n

Actuarios

ESPACIO ACTUARIAL // nº 48 // Primavera 2021

En el área de gestión de riesgos, la credencial profesional de referencia es CERA

Comité CERA del IAE1

Como actuarios estamos acostumbrados a que empresas, legisladores y gobiernos, en general la sociedad, nos encomienden actividades complejas y altamente reguladas entorno a los riesgos. La valoración de los riesgos en el sector asegurador y de previsión social ha sido un área que hemos tenido reservada casi en exclusiva, gracias al prestigio de nuestra formación y desempeño como profesión. Pero, ¿Es suficiente esa formación y experiencia para competir en una nueva y creciente actividad como es la gestión de riesgos empresariales? En la gestión de riesgos empresariales, el actuario cuenta con la ventaja competitiva que le proporciona su formación universitaria, la experiencia práctica de los puestos que ocupa actualmente, y la estructura organizativa que le ofrece su colegio profesional. No

1 El Comité CERA está compuesto por Sonia Latorre, Hugo González, Javier Olaechea, Aitor Milner, Eduardo Trigo, Manuel Moreno y Luis Alfonso Jiménez.

Actuarios

obstante, la competencia con otras profesiones, que ya pelean por ese terreno, es cada vez mayor y nos obliga a adquirir nuevos conocimientos, competencias y habilidades, si no queremos perder, o ver mermar, dicha ventaja. El Instituto de Actuarios Españoles apostó en 2018 por fortalecer el posicionamiento de nuestra profesión en esta área de actividad adhiriéndose a la CERA Global Association (CGA), que da acceso a nuestros miembros a la más prestigiosa credencial internacional para actuarios en gestión de riesgos, el Certified Enterprise Risk Actuary (CERA). El IAE está inmerso en la promoción de la credencial CERA en España, siendo necesario impulsarla en las empresas, y en el entorno profesional, tanto en el sector asegurador como fuera de él, para lo que al igual que con la acreditación CPD, cuenta con todos vosotros, miembros del Instituto. ¿Qué es CERA? La credencial CERA se creó en 2009 por las principales asociaciones actuariales internacionales para complementar la formación del actuario en el desempeño de

Primavera 2021 // nº 48 // ESPACIO ACTUARIAL

la gestión de riesgos empresariales, usando las mejoras prácticas internacionales y los más altos estándares de calidad. Actualmente hay más de 5.500 actuarios CERA trabajando en más de 40 países. El número de actuarios CERA se ha duplicado en los últimos 5 años, y no deja de crecer por su propuesta de valor única, que cubre las exigencias tanto de los actuarios, como de la sociedad: > L a sociedad demanda credenciales que garanticen la más alta competencia técnica en la protección de sus intereses económicos, y que cuenten con el aval de las más prestigiosas asociaciones actuariales internacionales. > Y como profesionales queremos formación de calidad que cubra tanto los elementos cuantitativos, como los cualitativos y que esté lo más adaptada posible a nuestro mercado. Queremos credenciales de prestigio que nos faciliten la exposición a puestos directivos y la promoción profesional. Y por supuesto queremos que nos faciliten la movilidad geográfica, para cuando queramos emprender nuevos retos fuera de nuestro país. Todo eso solo lo ofrece CERA.

Exámenes CERA, ahora también en Castellano. Desde el 2019 el IAE cuenta con un Comité CERA que gestiona las responsabilidades derivadas de la credencial, incluidas las relaciones institucionales CERA, y la promoción de la credencial en España. Uno de los objetivos que este comité se ha fijado desde su creación es que la credencial refleje cada vez más la realidad de nuestro mercado y eliminar las barreras que nuestros miembros puedan encontrarse en el acceso a la credencial, con el fin de que puedan acceder a la misma en las mismas condiciones que los miembros de otras asociaciones profesionales de nuestro entorno. En este sentido, hemos logrado un acuerdo para que desde 2021 los exámenes CERA puedan también realizarse en castellano, facilitándose así a nuestros actuarios colegiados su realización. Por tanto, los exámenes de los módulos A, C y D, que se realizarán en la primavera del 2021, serán los primeros en los que los miembros del IAE podrán realizarlos en su lengua materna, de la misma forma que miembros de las asociaciones anglosajonas, francesas o germanas. Figura 1. Examen CERA Módulo A: 28 Mayo 2021 | 9:00-12:00 Examen CERA Módulo C: 29 Mayo 2021 | 9:00-12:00

Formación CERA El plan de estudios (syllabus) es único y común para todos los actuarios, independientemente de su asociación profesional. En el caso de los actuarios del IAE, la formación requerida se imparte por la European Actuarial Academy (EAA), y consiste en 4 módulos de formación obligatorios, con sus correspondientes exámenes, y un módulo cuantitativo previo de carácter optativo para aquellos candidatos que no posean o quieran refrescar fundamentos matemático-estadísticos de finanzas y gestión de riesgos. > F ormación optativa: – M odule 0: “A Refresher Course in Financial Mathematics and Risk Measurement”. > Formación obligatoria, con sus correspondientes exámenes: – Módulo A “Foundations and Quantitative Methods of ERM”. – Módulo B “Taxonomy, Modelling and Mitigation of Risks”. – Módulo C “Processes in ERM”. – Módulo D “ERM - Economic Capital”.

Examen CERA Módulo D: 29 Mayo 2021 | 14:00-17:00 Examen CERA Módulo B: 29 Octubre 2021 | 9:00-12:00

Promoción CERA El Comité CERA del IAE se apoya en los 23 primeros miembros del IAE que han accedido a la credencial, un grupo compuesto por algunos de los más prestigiosos y conocidos actuarios españoles, comprometidos con la promoción de la credencial CERA en España. Están a vuestra disposición ante cualquier duda. El pasado mes de diciembre mantuvimos la primera reunión de actuarios CERA del IAE, en la que analizamos los retos en la promoción de la acreditación. Los principales retos que se trataron, y en los que contamos con la ayuda de todos los miembros del Instituto, son los siguientes: > Es necesario un mayor conocimiento de la credencial. Sobre todo, por parte de los departamentos de recursos humanos y los directivos de las enti-

Actuarios

ESPACIO ACTUARIAL // nº 48 // Primavera 2021

dades de nuestro sector. Claramente un trabajo para nuestros actuales actuarios CERA, pero donde contamos con todos los miembros del IAE para conseguirlo. Más adelante os contamos nuestros planes. > Involucración de los actuarios en puestos de dirección. En países anglosajones es bastante habitual que los directores actuariales fijen como objetivo a los miembros de su equipo, e incluso a ellos mismos, el conseguir las cualificaciones profesionales relevantes a su actividad profesional. Y aquí el posicionamiento de la profesión, del Instituto, es claro: esto no debería ser diferente en nuestro país, ni entre nuestros miembros en puestos de dirección. Un miembro del IAE en un puesto de dirección debe considerar la mejor formación para los actuarios de su equipo, en función de su actividad, y esa formación en gestión de riesgos en España es la de CERA.

El Comité CERA del IAE se apoya en los 23 primeros miembros del IAE que han accedido a la credencial, un grupo compuesto por algunos de los más prestigiosos y conocidos actuarios españoles, comprometidos con la promoción de la credencial CERA en España > H oras de estudio por parte de los empleadores. Proporcionar horas de estudio para pasar los exámenes profesionales es algo normal en países anglosajones. Aquí es menos habitual, y deberíamos considerarlo como una inversión en nuestro capital humano y en el de nuestra empresa. Como responsables de equipos debemos considerar, incluso hacer a nuestros empleadores reflexionar, la mínima inversión que supone ofrecer unas cuantas horas de estudio, a cambio de mejorar las habilidades de nuestros recursos. Desde el Comité CERA quedamos muy satisfechos por las contribuciones de los primeros 23 actuarios CERA durante la reunión de diciembre, pero sobre todo por su

Actuarios

interés en participar como embajadores en el plan de actividades que hemos preparado para este año. Plan de actividades CERA 2021 Nuestro objetivo profesional es mejorar la gestión de los riesgos nuestro país. Como gestores del Comité CERA del IAE, el objetivo es claramente incrementar el número de actuarios CERA entre los miembros del IAE, y para ello, junto con los embajadores, hemos diseñado un plan de actividades en el que nos gustaría destacar: > Conferencia de riesgos CERA. La CGA organiza para la semana del 14 de Junio de 2021 la conferencia de riesgos CERA, en inglés, virtual este año, donde profesionales de la gestión de riesgos de diferentes países presentarán su visión sobre alguno de los riesgos de actualidad. > Sesiones CERA del IAE. Entorno a la Conferencia de riesgos CERA, el 16 de Junio de 2021 para ser más precisos, planeamos tres Sesiones CERA del IAE, también virtuales, pero esta vez en español y dirigidas principalmente a directores actuariales y directores de riesgos. Una de las sesiones girará en torno a los riesgos del capital humano, donde invitaremos a responsables del área de recursos humanos, aprovechando así para presentarles la credencial CERA. Las otras dos sesiones cubrirán los efectos de la pandemia en los riesgos suscritos por las aseguradoras, y el riesgo cibernético. > Promoción en la Universidad. Los estudiantes del Máster en Ciencias Actuariales y Financieras son los actuarios CERA del futuro y por eso vamos a promover la credencial también en la Universidad, empezando con un proyecto piloto de promoción en la Universidad de Málaga. > Página web CERA. Hemos creado una página web específica para la credencial CERA en España (cera.actuarios.org), que incluye la relación y el currículo de los actuarios CERA del IAE, documentos y publicaciones relacionados con CERA, información sobre cursos, y materiales de promoción de la credencial. Acabamos de comenzar el camino de la credencial CERA en España, el cual estamos convencidos que nos llevará muy lejos. Hazlo con nosotros, únete a los más de 5.500 actuarios CERA. n

Primavera 2021 // nº 48 // SEGUROS (IM)POSIBLES

De la A a la Z, o ¿tiene vacuna la estulticia? Miguel Ángel Vázquez // Director de estudios de UNESPA José Antonio Herce // Socio fundador de LoRIS

En esta pequeña ventana que nos ceden a los parvenues del seguro se habla todo lo que se puede de seguros posibles, y lo menos que somos capaces de seguros imposibles. Al fin y al cabo, el seguro imposible es al profesional del sector lo que la enfermedad incurable al de la medicina, así pues, así lo entendemos, lo mejor es no citarlo demasiado. A veces, sin embargo, es inevitable. Es pocas veces porque, la verdad, esa afirmación que dice que todo es asegurable resulta casi cierta. Y ese casi, por decirlo de forma pedante, suele estar más allá de un valor de confianza de 95,5%, aquél por debajo del cual podemos dormir tranquilos; o eso, al menos, dicen las leyes (actuariales). La verdad de que todo es asegurable se toma, pues, por verdad. Aunque no lo sea, porque hay cosas que no se pueden asegurar: la estulticia, por ejemplo. La estulticia no es asegurable porque no es un estado que se adquiera, no es algo que nos pase, sino que forma parte de la esencia de uno mismo. Un célebre aforismo inglés nos dice que la misma agua hirviendo que deshace una patata endurece un huevo; así pues, no se trata tanto de lo que te pase sino de qué materia estés hecho. Si eres patata, eres patata, y nadie puede asegurarte contra el riesgo de que el agua hirviendo te disuelva. O, por decirlo con las palabras de Rubén Blades, si nasiste p’a martillo / del Cielo te llueven los clavos. Tampoco es asegurable la estulticia porque no es algo eventual. No es algo que ocurra o no ocurra. Es algo que, en el fondo, cada vez que ocurre, es porque nosotros queremos que ocurra, o sea, que ocurre siempre. La estulticia, cada vez que se manifiesta, siempre reclama la colaboración activa de aquél quien la comete; ahí está el problema. Un asegurado no puede ser, a la vez, el interés asegurado y el lucro cesante. Aquél que pretende que le aseguren cada punta de estulticia que manifieste está cargándole a la comunidad de asegurados su falta de voluntad (para dejar de hacerse el estólido). Estos días hablamos mucho de una de las vacunas contra la COVID 19, fuertemente criticada por la producción de algunos quebrantos secundarios, cuya causalidad está emergiendo en firme, a medida que se conocen más casos, y que, en cualquier caso, aparecen con una probabilidad tan minúscula que la forma más elegante (y abstrusa) de describirla es utilizar la expresión riesgo no sistemático.

Es lícito sentir aprensión ante la posibilidad de sufrir problemas de salud que terminen fatalmente; pero, estadísticamente hablando, esa aprensión no debiera ser muy superior a la que se enfrentamos en otras muchas circunstancias que afrontamos con total tranquilidad. En muchos casos de pruebas médicas hemos de firmar papeles que nos avisan de consecuencias improbables, pero catastróficas que alguna vez le han ocurrido a los que se han hecho la misma prueba antes que nosotros, y a nadie se le ocurre propugnar que dejen de realizarse. La razón mayor es que, sin ningún lugar a duda, es mucho más lo que nos protegen que el riesgo al que nos someten. Así pues, ¿es posible imaginar un seguro que nos otorgase cobertura si, en el caso de vacunarnos, tuviéramos consecuencias negativas como las descritas? Pues sí, porque ese seguro imaginario (o tal vez real, pues el mercado es tan ancho como Castilla) está basándose en dos actos racionales: el de vacunarse; y el de prever un riesgo remoto. Como contraste, el seguro (im)posible sería aquél buscado por quien, habiendo decidido no vacunarse, quisiera cubrirse ante la hipótesis de, en ese gesto, haber cometido un acto definitivo y sin retorno de estulticia. Cuando el estólido se expone al contagio de una enfermedad notablemente más común que las consecuencias negativas graves de las vacunas, y de consecuencias potencialmente igual de agudas, o más, debe saber que incurre en una probabilidad sensiblemente mayor de sufrir aquello de lo que se quiere proteger no vacunándose. ¿Se imaginan que nadie usase un vehículo por tenor a sufrir un accidente mortal? Pues sepan que hacemos eso cada día y que la probabilidad de sufrir un accidente mortal de tráfico (en base temporal vital) es mayor que la de sufrir las consecuencias fatales de la famosa vacuna. No habría posibilidad de asegurar, pues el asegurado se traería el siniestro puesto y, además, lejos de haberlo prevenido y trabajado para impedirlo, lo estaría buscando, incluso, lo estaría provocando (moral hazard). Asegurar las consecuencias de vacunarse es algo perfectamente posible a cambio de una prima bastante baja (dada la muy reducida probabilidad del siniestro), pero asegurarse contra las consecuencias de no vacunarse sería bastante más caro y, eventualmente, exigiría fijar una prima del 100%, una prima igual al valor del siniestro; pues la más elemental de las lógicas nos dicta que, cada vez que hacemos un acto de estulticia, somos nosotros, y sólo nosotros, los que deberemos correr con las consecuencias. n

Actuarios

LA VIDA BUENA // nº 48 // Primavera 2021

Foto: Inés Werneck

Cecilia y otras mujeres que se creyeron muertas

Segunda novela de nuestra compañera Esther Arencibia Urién que desde su peculiar sentido del humor y alternando el esperpento y la pena, nos habla de una lacra tristemente presente en la actualidad: En la España de la posguerra y la copla, Cecilia con catorce años deja el colegio y empieza a trabajar como asistente en el despacho de don Braulio Barulio. Un guionista de fama efímera e ínfulas de gran cineasta, que encontrará en Cecilia remedio a sus múltiples carencias. «Don Braulio, se siente un Pigmalión ante el océano de ignorancia en el que flota Cecilia porque, lógicamente, ni sabe nadar ni ha visto el mar en su vida». Cecilia, presenciará escenas incomprensibles y se dejará llevar por cosas que escapan a su simpleza. «Cosas» sobre las que su madre, adepta al complejo y al prejuicio, no le había advertido y que suscitan en ella todo tipo de reacciones. Por fin una mala jugada de su jefe la llevará a atar cabos y a idear un ingenuo plan que provocará un tsunami. Algunos comentarios de sus lectores: “En clave de ironía y humor, como aquellas películas ácidas de la transición, Cecilia cuenta las idas y

Actuarios

venidas de los muchos personajes que atraviesan su vida, hombres como su protector y abusador, Braulio y otros encantadores como la abuela Narcisa “los sábados hay que madrugar, para alargar el fin de semana”. “Sorprendente por imprevisibles es la deriva que toma la historia y que hace que la literatura se ponga al servicio de una “causa”: en este caso la lucha de la mujer por salir del pozo de violencia en el que lleva tanto tiempo, que es de una actualidad, relevancia y crudeza innegociables. En literatura estos giros siempre son arriesgados, pero soy de los que creo que el arte hay que ponerlo al servicio de “la vida” (…) Me gusta mucho que tu literatura lo haya hecho desde el realismo, la emoción y la llamada reivindicativa a una lucha en la que estás comprometida, pero todo ello sin demonizar al “hombre” como género”. “El personaje está muy bien fundamentado. Parece tonta pero en realidad esconde una inteligencia innata, poco convencional, porque no es ni emocional ni social”. “Una novela con pinceladas costumbristas, que protagonizan además junto a Cecilia, mujeres a veces algo ingenuas pero sabias, que caminan en la sororidad para interactuar con la protagonista. Es la risa para calmar la tragedia”. n

Primavera 2021 // nº 48 // LA VIDA BUENA

Nosotros Daniel Hernández González // Actuario de seguros

Escondidas en la alacena de la historia y la literatura aguardan obras que trascienden el tiempo y el espacio. Nosotros, de Evgueni Ivánovich Zamiátin, fue escrita hace un siglo y, sin perjuicio de sus posibles lecturas e interpretaciones, recoge y explica la realidad actual con mayor fidelidad que millares de volúmenes escritos en las tres últimas décadas. Si Zamiátin, encarcelado por revolucionario, fue sometido al ostracismo por un sistema totalitario, si fue boicoteado y catalogado de traidor y si, en 1923, la censura del Régimen impidió la publicación de esta obra, que tuvo que esperar a 1988 para ver la luz por vez primera en la tierra de su autor, ya hay motivos más que suficientes para acudir a ella. Que además sea un pilar precursor sobre el que se ha edificado lo que se conoce como distopía no hace más que acrecentar exponencialmente su interés. Nosotros sitúa al lector en una sociedad uniforme que ha tomado como meta inmediata “la tarea de imponer el bienhechor yugo de la razón a los ignotos seres de otros planetas”. Las personas son nombradas mediante números, viven en edificios de paredes transparentes y no se aventuran más allá del Muro Verde; se ha eliminado a los antiguos amos del mundo: el Ham-

bre y el Amor, así como a la Envidia y el Crimen; los ciudadanos han alcanzado, por fin, la ansiada felicidad. Ante este panorama, ¿quién no querría renunciar a la libertad para vivir en una sociedad organizada y controlada por el Estado Único? ¿Qué persona no desearía alcanzar la dicha absoluta desprendiéndose de la fantasía mediante una lobotomía obligatoria? ¿Quién rechazaría la verdad única que ofrece el Periódico Estatal, la tutela del Benefactor o el amparo del Protector? ¿Cómo no solidarizarse con aquellos historiadores que renuncian a dar fe del indignante aumento de risas y suspiros entre sus congéneres? ¿Quién, en definitiva, escogería el incierto y voluble Yo frente a la armonía de un único Nosotros? Pues bien, en este espejo paradisíaco de la vida buena no faltan enemigos de la felicidad que proyectan “liberar a los números del benefactor yugo del Estado Único”, planteando en lo literario y lo filosófico interrogantes que son trascendentales, hoy más que nunca, aunque, como siempre, una breve mirada a nuestro alrededor puede acercarnos a las respuestas. En esta desconocida obra, como en tantas otras de su género, el ensueño literario es vida, es realidad, mientras el tiempo y el espacio se ven ampliamente superados por la palabra escrita; por ello, hay que acudir a su disfrute sin demora ya que, a no mucho tardar, Nosotros formará parte del nuevo Índice de libros prohibidos. n

Rincones La profesión de actuario, por técnica que resulte, no está reñida con la creación literaria. Alberto Merino, Actuario Colegiado nº 2.287, de 48 años de edad, publica su primer libro, una colección de relatos de ficción histórica sobre 15 personajes femeninos cuya vida, aunque desconocida en la mayor parte de los casos, vale la pena rememorar, aunque sea para no repetir jamás lo que hicieron. "Rincones" nos lleva

desde el imperio bizantino hasta el África austral del siglo XVIII, pasando por Sudamérica, Australia y China: desde las famosas Édith Piaf o Rosa Parks hasta las poco conocidas Lakshmi Bai, Bartolina Sisa o Emma Goldman. Una recopilación con la que el autor espera poder llevarnos a los momentos clave de cada protagonista y, quizá, despertar nuestro apetito por conocer más de la vida de estas mujeres irrepetibles. n

Actuarios

LA VIDA BUENA // nº 48 // Primavera 2021

Una amenaza estructural Diego S. Garrocho Salcedo // Profesor de Filosofía. Universidad Autónoma de Madrid

Cada tecnología entraña una nueva forma de riesgo. De hecho, en el ámbito de la filosofía política, no sería extraño establecer una relación entre los distintos regímenes de gobierno y los diferentes paradigmas tecnológicos que se han ido sucediendo a lo largo de la historia. Allí donde hay un nuevo modelo de ordenación política existen, de forma natural, nuevas experiencias de dominación. Los riesgos y las oportunidades van siempre de la mano. No es algo singularmente sorprendente: del mismo modo que no podría haber existido el fascismo sin la megafonía, el contexto actual de las tecnologías de la información y la comunicación ha hecho posible nuevas formas de amenaza para nuestro orden democrático y civil. Así, por ejemplo, no hace falta ser un analista singularmente audaz para sospechar que existe una alianza natural entre la polarización y las redes sociales. Al mencionar los ciberriesgos es frecuente circunscribir el examen a las nuevas formas de delitos, amenazas o peligros auspiciados por el contexto de radical conectividad en el que vivimos. Ciberataques, localizaciones espurias, atentados contra la privacidad o tipos penales derivados del abuso de las nuevas condiciones de comunicación son muchas de las experiencias que hoy podrían quedar descritas como ciberriesgos. Existe, sin embargo, una comprensión mucho más radical toda vez que podemos reconocer un riesgo inherente al nuevo paradigma comunicativo e informacional en el que hoy vivimos. De cada tecnología, e incluso de cada técnica, neutrales ambas a ojos del observador ingenuo, cabría un empleo legítimo y otro uso abusivo, doloso e irresponsable. Sin embargo, son cada vez más las voces que parecen alertarnos del daño irreversible al que estamos exponiéndonos a causa del desarrollo indómito de la tecnología por causas puramente estructurales. Es decir, no existe un ámbito cibernético en el que quepan conductas potencialmente delictivas o dañinas, sino que el propio contexto de total conectividad supone una amenaza para algunas formas de vida valiosas que eran previas a la gran revolución digital.

Actuarios

Este diagnóstico no aspira a convertirse en un alegato tecnófobo ni ambiciona acabar con los desarrollos científicos que nos han precedido. Revertir el curso de la historia, como bien supo ver Tocqueville, no sólo imposible sino que además, probablemente, sería indeseable. No podemos deshacer las conquistas técnicas ni las destrezas tecnológicas adquiridas, pero creo que sí podríamos reelaborar una comprensión mucho más crítica y prudencial de la innovación. El filoneísmo y el aprecio fetichista de las novedades han hecho que en demasiadas ocasiones escuchemos hablar del desarrollo tecnocientífico como un valor incuestionable. Cada vez somos más capaces aunque no sepamos reconocer la finalidad de nuestra nueva potencialidad. El propósito de conectividad y la permanente aceleración de los procesos comunicativos e informacionales se asientan sobre una creencia inarticulada que bien merecería, al menos por prudencia, someterse a una revisión o sospecha. Resulta indubitable conceder que el desarrollo de las nuevas tecnologías ha ampliado el espectro de nuestra vulnerabilidad. En este sentido, no son sólo los riesgos políticos, convivenciales o sociales los que pueden intuirse detrás del desarrollismo cibernético. Algunos elementos vinculados con el bienestar psicológico, el régimen de la atención o nuestras capacidades cognitivas están viéndose también amenazadas por el nuevo uso tecnificado que hacemos de la información. Junto con ello no podríamos olvidar el conjunto de riesgos medioambientales que aparecen vinculados con el desarrollo de cualquier tecnología. Si detrás de cada crimen el derecho romano nos enseñó a sospechar de aquel a quien el delito pudiera beneficiar (cui prodest, ¿a quién sirve o aprovecha?) ante la acelerada y vertiginosa transformación del mundo deberíamos oponer siempre una pregunta: ¿qué perdemos al alumbrar esta radical y disruptiva novedad? Durante décadas hemos contemplado de forma continuada el furor celebratorio de las nuevas posibilidades y libertades de la conectividad total. Cada vez resulta más apremiante reevaluar las posibilidades y las nuevas amenazas del paradigma cibernético. Ya sabemos todo lo que hemos ganado pero ¿alguien ha realizado el cómputo completo de todo lo que hemos perdido? n

Primavera 2021 // nº 48 // NOTICIAS

El Instituto de Actuarios Españoles participará en el nuevo mecanismo de monitorización de tablas biométricas de la DGSFP El Consejo de Ministros ha aprobado, a propuesta de la Ministra de Asuntos Económicos y Transformación Digital, un nuevo Real Decreto por el que se modifica el Reglamento de Ordenación, Supervisión y Solvencia (ROSSEAR), y en el que se habilita para que, mediante Orden Ministerial se cree una comisión técnica que analice y monitorice las hipótesis para la elaboración de tablas biométricas, en un nuevo marco de colaboración público-privada, y que contará con el Instituto de Actuarios Españoles, además de con representantes de la Administración, de la industria aseguradora, y, si así se estimase, otras personas del ámbito universitario o profesional afín a la materia. El regulador reconoce así la conveniencia de disponer de un mecanismo institucional de monitorización del contraste de validez de las tablas biométricas con la evolución en el tiempo de la mortalidad, supervivencia, invalidez y morbilidad reales, y contar con los principales expertos en la materia, destacando la participación de la profesión actuarial, como experta en la gestión del riesgo biométrico y responsable de la formulación de las bases técnicas actuariales, organizada en el Instituto de Actuarios Españoles. La Comisión técnica elevará al Director General de Seguros y Fondos de Pensiones análisis y propuestas de mejora en relación con los diferentes aspectos que pudieran afectan a la elabo-

1 Real Decreto 288/2021, de 20 de abril, por el que se modifica el Real Decreto 1060/2015, de 20 de noviembre, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras; se da nueva redacción al artículo 34 del Reglamento de Ordenación y Supervisión de los Seguros Privados, aprobado por el Real Decreto 2486/1998, de 20 de noviembre; y se modifica el Reglamento para la aplicación de la Ley 87/1978, de 28 de diciembre, sobre Seguros Agrarios Combinados, aprobado por el Real Decreto 2329/1979, de 14 de septiembre (BOE 21 abril 2021).

ración y aplicación de las tablas biométricas, así como de la eventual necesidad de proceder a su actualización. Con este nuevo Real Decreto concluye el proceso de revisión y aprobación de las tablas biométricas, que se hicieron públicas por Resolución de la Dirección General de Seguros y Fondos de Pensiones el pasado mes de diciembre, y que establece un nuevo marco normativo que reconozca la existencia y la importancia del riesgo biométrico y que contribuya a una eficiente gestión de dicho riesgo biométrico. Este proceso de revisión biométrica ha contado con las aportaciones en cuestiones cualitativas del Instituto de Actuarios Españoles, cuya profesionalidad y rigor técnico ha sido reconocido por la DGSFP en la jornada que sobre esta materia celebró el Instituto de Actuarios el pasado 25 de marzo. Rafael Moreno, Presidente del Instituto de Actuarios Españoles, ha manifestado “el agradecimiento del Instituto de Actuarios Españoles por la confianza que la DGSFP deposita en nosotros en aquellos proyectos de índole actuarial que lleva a cabo, como fueron las Bases Técnicas Actuariales del Baremo de Autos, el informe especial de revisión de la situación financiera y de solvencia, el desarrollo de la Función Actuarial tanto en seguros como en pensiones, y ahora con las nuevas tablas biométricas”, y añadió: “este agradecimiento es extensivo a los actuarios colegiados que han participado en este proceso de asesoramiento y supervisión, quienes son el alma de la profesión y del Instituto”. n https://www.actuarios.org/el-instituto-deactuarios-espanoles-participara-en-el-nuevomecanismo-de-monitorizacion-de-tablasbiometricas-de-la-dgsfp/

Actuarios

NOTICIAS // nº 48 // Primavera 2021

El Instituto de Actuarios Españoles ofrece una nueva publicación científica La Junta de Gobierno del Instituto de Actuarios Españoles (IAE) ha acordado adherirse a la European Actuarial Journal Association (EAJ), y formar parte así parte de los editores de esta importante publicación científica, en cuyo Consejo Editorial hay reconocidos académicos de la ciencia actuarial europea, como Hansjörg Albrecher, José Garrido o Ermanno Pitacco. La European Actuarial Journal (EAJ) es fruto de la unificación de seis revistas actuariales, está orientada a la promoción y el desarrollo de la ciencia actuarial, y publica trabajos originales de investigación actuarial, ya sean teóricos o aplicados, coincidiendo en el mismo enfoque que la publicación Anales del Instituto de Actuarios Españoles, que seguirá siendo editada por el Instituto. Rafael Moreno, Presidente del Instituto de Actuarios Españoles, valora muy positivamente “ampliar la oferta de publicaciones científicas a nuestros colegiados”, destacando que “complementa perfectamente la revista Anales del Instituto de Actuarios Españoles, la principal publicación científica actuarial en lengua castellana, con una relevante y exclusiva publicación en lengua inglesa en esta misma materia”. El Instituto de Actuarios Españoles (IAE) se suma así a los colegios y asociaciones profesionales de actuarios de Austria (AAA), Alemania (DAV), Francia (IA), Suiza (ASA/SAA), Italia (ISOA), Bélgica (IABE), Portugal (IAP), Polonia (PSA), Grecia (EAE), Turquía (AD), Estonia (EAL) y Hungría (MAT), como editores de la publicación.

Próximamente se comunicará a los miembros del Instituto de Actuarios Españoles las condiciones especiales de las suscripciones individuales (modalidad on line, e impresa+on line). n https://www.actuarios.org/el-instituto-de-actuariosespanoles-ofrece-una-nueva-publicacion-cientifica/

El Instituto de Actuarios Españoles se adhiere a la Guía de Buenas Prácticas del Baremo de Autos La Junta de Gobierno del Instituto de Actuarios Españoles (IAE) ha acordado adherirse a las directrices marcadas en el documento denominado “Guía de Buenas Prácticas para la aplicación del Baremo de Autos” aprobada por la Comisión (Interministerial, de Justicia y de Asuntos Económicos y Transformación Digital) de seguimiento del sistema de valoración de los daños y perjuicios causados a las personas en accidentes de circulación. Como dice la exposición de motivos de la Ley 35/2015, el vigente Baremo de Autos nació con la fi-

Actuarios

nalidad de “lograr la total indemnidad de los daños y perjuicios padecidos para situar a la víctima en una posición lo más parecida posible a la que tendría de no haberse producido el accidente”, y “buscando un justo resarcimiento de los perjuicios sufridos por las víctimas y sus familias como consecuencia de un siniestro de tráfico”. Basándose en el principio de reparación íntegra de los daños, la Junta de Gobierno del IAE considera que el Baremo tiene que contribuir a atenuar y resar-

Primavera 2021 // nº 48 // NOTICIAS

cir aquellas situaciones injustas y en ocasiones dramáticas, con pérdida añadida de calidad de vida, cuando además se ha sufrido un daño físico, psíquico y moral, que es la razón por la que el legislador promulgó esta Ley y este modelo, para encontrar así formas idóneas que garanticen el cumplimiento de este principio de reparación íntegra de los daños. En este sentido, Rafael Moreno, Presidente del Instituto de Actuarios indicó que “los actuarios asumen una importante responsabilidad en el sistema de reparación de los daños sufridos por las víctimas de accidentes de tráfico, y para que la desempeñen de forma que se respeten los preceptos legales y los principios que inspiran el sistema, contribuyendo al bienestar de la sociedad, en general, y a la protección de los intereses de las víctimas y los perjudicados, en particular, es

necesario que los actuarios, en su praxis profesional, cumplan las directrices de la Guía de Buenas Prácticas, que es una herramienta de buena fe y transparencia en la aplicación del Baremo y que, de manera clara, les asigna en exclusiva la relevante función de emisión de informes periciales actuariales en los casos en los que resulte preciso conforme a la Ley y la propia Guía”. El Instituto de Actuarios Españoles ha creado un Grupo de Trabajo sobre el Baremo de Autos que va a realizar los análisis que resulten oportunos en cada momento y hará propuestas a la Junta de Gobierno de nuevas normas profesionales que resulten necesarias para completar el marco en el que se desenvuelve la actuación de los actuarios en esta materia. n https://www.actuarios.org/iaeguiabuenaspracticasbaremo/

El Instituto de Actuarios Españoles estrena web para la credencial CERA Tras alcanzar un acuerdo para poder realizar los exámenes CERA en castellano, el Instituto de Actuarios Españoles continúa impulsando la credencial CERA entre sus miembros. Con este fin, el Instituto de Actuarios Españoles ha creado una página web para difundir la credencial CERA (Certified Enterprise Risk Actuary) en España, que ha sido presentada en la reunión del Comité CERA del Instituto de Actuarios Españoles celebrada este martes. En la nueva página web https://cera.actuarios. org se puede consultar la formación necesaria para obtener la acreditación, los exámenes a realizar, información sobre la credencial, así como una relación de los actuarios CERA acreditados por el IAE. Para obtener la acreditación CERA se deben cursar 4 módulos formativos (en inglés), y superar sus correspondientes exámenes (en inglés, alemán o castellano). La acreditación CERA es la única credencial de gestión de riesgos empresariales exclusiva para Actuarios, y es de reconocimiento internacional. Otorga a los profesionales de la gestión de riesgos empresariales (Enterprise Risk Management, ERM) un sólido conocimiento y competencias para la adecuada toma

de decisiones, y les refuerza en la asunción de responsabilidades tales como responsables de riesgos y chief risk officers (CRO). En la actualidad existen más de 5.500 actuarios cualificados CERA en todo el mundo, 23 de ellos miembros del Instituto de Actuarios Españoles. n https://www.actuarios.org/el-instituto-de-actuariosespanoles-estrena-web-para-la-credencial-cera/

Actuarios

NOTICIAS // nº 48 // Primavera 2021

Entra en vigor el nuevo Código de Conducta del Instituto de Actuarios Españoles Con fecha 1 de enero de 2021, entró en vigor el nuevo Código de Conducta Profesional que regula los principios éticos, deontológicos y de conducta de los actuarios en el desempeño de su actividad profesional, tanto por cuenta ajena como por cuenta propia. El nuevo Código de Conducta del IAE se rige por cinco principios básicos: > I ntegridad: el actuario ha de actuar con honestidad y con los más altos estándares de integridad. > Competencia y diligencia: el actuario debe realizar servicios profesionales de manera competente y diligente. > Cumplimiento normativo: el actuario ha de cumplir con todos los requisitos legales, reglamentarios y profesionales relevantes. > Objetividad e imparcialidad: el actuario no debe permitir que los prejuicios, los conflictos de intereses o la influencia indebida de terceros anulen su juicio profesional. > Comunicación: el actuario debe ser capaz de transmitir las implicaciones de cualquier análisis y asesoramiento de una manera que sea comprensible para sus clientes. El nuevo texto, que es de aplicación todos los actuarios en el ámbito de la Unión Europea, homogeniza el rigor de la profesión de actuario en Europa, al aplicarse a los actuarios de 35 países europeos. Este Código establece los principios clave de conducta, siendo los propios actuarios quienes deben velar en primera persona por el espíritu y la intención del Código, que va mucho más allá de una mera interpretación literal. El nuevo código que entra en vigor se aplica a todos aquellos servicios profesionales prestados por un actuario en relación con entidades gestoras de planes y fondos de pensiones, aseguradoras y reaseguradoras, y entidades de servicios financieros, así como a todos aquellos actos profesionales fundamentados en criterios actuariales, como puede ser una valoración del Baremo de Autos o la gestión de riesgos ERM, entre otros.

Actuarios

El nuevo código, aprobado en la Asamblea General del IAE celebrada el 30 de septiembre de 2020, recoge exactamente las directrices aprobadas en su momento por la Asamblea General de la AAE para su entrada en vigor el 1 de enero de 2021 y sustituye al Código de Conducta previo, aprobado por la Asamblea General Extraordinaria del IAE el 9 de diciembre de 1996. Adicionalmente, el Código de Buen Gobierno del IAE, aprobado en julio de 2019, regula los principios éticos de todos los miembros del Instituto de Actuarios Españoles en sus actuaciones en representación del mismo; es decir, es aplicable, entre otros a los miembros de la Junta de Gobierno, otros representantes en órganos de gobierno o comités internacionales por razón de designación del Instituto, así como a los empleados del IAE. Asimismo, el nuevo Código de Conducta se complementa con las normas y estándares profesionales del IAE aplicables al ejercicio profesional de los actuarios, como la Guía de Autorregulación de la Función Actuarial bajo Solvencia II, los European Standards of Actuarial Practice –ESAP– (Normas Europeas de Práctica Actuarial), o los International Standards of Actuarial Practice –ISAP– (Normas Internacionales de Práctica Actuarial). El ESAP 1 está, además, expresamente recogido en el ordenamiento jurídico, en el artículo 10, relativo al Control de calidad de la Circular 1/2018, de 17 de abril, de la Dirección General de Seguros y Fondos de Pensiones, por la que se desarrollan los modelos de informes, las guías de actuación y la periodicidad de la revisión del informe sobre la situación financiera y de solvencia, individual y de grupos, y del responsable de su elaboración como aspectos de obligada aplicación por los actuarios. Es necesario señalar que el Código de Conducta sirve de marco para la toma de decisiones en aquellos procedimientos disciplinarios que se tramiten en el Instituto de Actuarios Españoles por incumplimiento de las normas de deontología profesional, por incumplimiento de los Estatutos o las Normas Estatutarias de Desarrollo, donde se aplicará el correspondiente régimen sancionador. n https://www.actuarios.org/nuevocodigoconducta/

Primavera 2021 // nº 48 // NOTICIAS

Se duplica en dos años el número de Actuarios que certifican su Desarrollo Profesional Continuo (CPD) 212 actuarios colegiados han acreditado su Desarrollo Profesional Continuo (CPD) correspondiente a 2020 en el Instituto de Actuarios Españoles. En 2020, como consecuencia de la crisis de salud pública provocada por el COVID19, el Instituto de Actuarios transformó la modalidad de todos sus cursos de formación a modalidad síncrona en línea, y organizó webinars gratuitos para sus miembros al objeto de facilitarles la obtención de la acreditación CPD de este pasado año. El sistema de CPD del Instituto de Actuarios se basa en los principios de voluntariedad de adhesión, flexibilidad de los contenidos y de las formas o vías de adquisición, veracidad de la formación declarada, y verificación a posteriori por el Comité de Valoración y Seguimiento de la CPD. Los miembros del Instituto que hayan sido certificados como actuarios CERA tienen no obstante la obligación de acreditar todos los años el cumplimiento de los requisitos de Desarrollo Profesional Continuo. La formación puede haber sido impartida tanto en la Escuela de Práctica Actuarial y Financiera (EPAF) del Instituto de Actuarios, como en otros proveedores de formación, en las propias empresas, e incluso en autoaprendizaje, conforme al principio de flexibilidad de las formas de adquisición.

No obstante, para facilitar al actuario la formación, la Escuela de Práctica Actuarial y Financiera (EPAF) del Instituto de Actuarios organiza una amplia y variada oferta de formación técnico actuarial, en cuestiones técnicas como Función Actuarial, Baremo de Autos, Big Data, Machine Learning, Embedded Value, ALM, o cursos para obtener la credencial CERA. Los esquemas de CPD son en la gran mayoría de los países europeos de carácter obligatorio, y su incumplimiento tiene consecuencias para los profesionales. El modelo del Instituto de Actuarios Españoles es sólo obligatorio para los actuarios CERA, si bien es el propio Código de Conducta el que establece la necesidad de la formación y el desarrollo profesional continuados de cada actuario y, como buena práctica de mercado, las empresas están ya demandando la acreditación de la CPD a los actuarios por parte de su Colegio Profesional. En el seno de la Actuarial Association of Europe (AAE) se está planteando la exigencia de acreditar la formación continuada para poder acogerse al Acuerdo de Reconocimiento Mutuo (Mutual Recognition Agreement, MRA) con otros colegios profesionales europeos. n https://www.actuarios.org/noticacpd2020/

El IAE se reúne con el Ministro Escrivá El 2 de marzo se reunió una representación de la Junta de Gobierno del Instituto de Actuarios Españoles, encabezada por su Presidente, Rafael Moreno, con el Ministro de Inclusión, Seguridad Social y Migraciones, José Luis Escrivá. En la reunión, que tuvo una duración de casi dos horas, el Instituto de Actuarios, miembro de la Asociación Actuarial Europea (AAE) y de la Asociación Actuarial Internacional (IAA), explicó detalladamente los distintos modelos de supervisión actuarial de la Seguridad Social que existen en el mundo, y ofreció su colaboración para lograr el objetivo común de la sostenibilidad del sistema público de pensiones español. n

Actuarios

ALTAS // nº 48 // Primavera 2021

Miembros titulares

Actuarios

Apellidos

Nombre Número

ALDANA MONEDERO ALONSO GONZALEZ BERMEJO ROLDAN GOMEZ GARRIDO LLANO GALVEZ MARTIN SANCHEZ MARTINEZ-CONDE QUIÑONES OSADCHUCK REDONDO JARAIZ VIZOSO LINARES GOYES NAVARRETE HURTADO GOMEZ LEIS LOPEZ MENDES ROBLEDA CALDERON MOLINA COLLADO CARMONA RODRIGUEZ CALVO MINDOV STOYANOV ESTEO LOZANO PERALES BERTÓ AMZIGH BEN MOUSSA MARTIN MARTIN MORALA GIRON LOVO MUNGUIA CHEN DE BLAS MALDONADO GONZALEZ CASTILLO LLORET CORA MUÑOZ GONZALEZ STORNI SANTIAGO CORREA LIU QUEVEDO PEÑATE CHILET PEREZ GARAYETA BAJO RIM BARANGÉ YU ROLDAN OTRIZ TORRENTE PASCUAL DURAN MATEOS GOMEZ ESCALONILLA GARCIA LARGO SANZ PEREZ

Juan Diego MT-4095 David MT-4096 Raquel MT-4097 Irene MT-4098 Joaquín MT-4099 Álvaro MT-4100 Clara MT-4101 Zoryana MT-4102 Ruben Daniel MT-4103 Gorka MT-4104 Ana María MT-4105 Amaya MT-4106 Paula MT-4107 Inés MT-4108 Carlos MT-4109 Alejandro MT-4110 Federico MT-4111 Svetlozar MT-4112 Rafael MT-3552 Pedro MT-4113 Moncef MT-4114 Francisco Javier MT-4115 Juan Fernando MT-4116 Juan Salvador MT-4117 Mindong MT-4118 Alejandro MT-4119 Pablo Jesús MT-4120 Cristina MT-4121 Francisco Javier MT-4122 Rafael MT-4123 Iván MT-4124 Virginia MT-3502 Sergio MT-4125 Asier MT-4126 Nawal MT-4127 Zhe MT-4128 Alejandro MT-4129 Olga MT-4130 Agustín MT-4131 María Margarita MT-4132 Francisco Javier MT-4133

Actuarios

Próximo Número FORMACIÓN DEL ACTUARIO La profesión actuarial se desarrolla en un entorno legal cada vez más exigente, ofreciendo respuestas complejas a riesgos de difícil medición y en un mercado competitivo cada vez más reñido. Podemos decir que el actuario se enfrenta a un mundo cambiante, desarrolla su actividad en un contexto empresarial fuertemente presionado y se encuentra con crecientes dificultades normativas. La sociedad espera del Actuario que detecte, cuantifique y asegure riesgos y que, al tiempo, lo haga respondiendo simultáneamente a los aspectos éticos, jurídicos y financieros que implican la profesión. Resulta una difícil ecuación, cuya solución posible descansa en la Formación que recibe el Actuario, y que será objeto del número de Otoño de la Revista. La Formación del Actuario supone no sólo sus iniciales estudios de Grado y Master sino también el seguimiento de itinerarios vitales de formación que superan el concepto de formación continuada o para toda la vida, y se insertan en una aspiración irrenunciable de obtener, también en lo profesional, la mejor versión posible de uno mismo y la más amplia intelección del mundo que nos rodea. En el número 49 de la Revista Actuarios del Instituto pretendemos repasar las posibilidades e itinerarios formativos que se abren ante el Colegiado, desde los grados y másteres hasta los cursos de mayor reconocimiento internacional. Esperamos también conocer, de primera mano, las experiencias formativas propuestas por los colegas, sus demandas al Instituto y las necesidades de la industria y la sociedad. Queremos preguntarnos qué otras disciplinas pueden aportar mejoras a la profesión. Esperamos, como siempre, nutrir el número de otros trabajos no relacionados con el tema de portada pero que inciden en nuestra actividad cotidiana. El Espacio Actuarial está abierto para las contribuciones que se deseen realizar en este sentido. Las aficiones e inquietudes culturales de los colegiados, junto con las noticias del Instituto, completarán el número de Otoño de la Revista, que se esfuerza en ser uno más de los lugares de encuentro que pone el Instituto a disposición de sus Colegiados.

Actuarios 48 - Ciberriesgos

Articles inside

NOTICIAS

Diego S. Garrocho Salcedo. Una amenaza estructural

LA ADMINISTRACIÓN CONTESTA Isabel Casares San José-Marti. Sentencia Tribunal Supremo sobre ciberriesgo ESPACIO ACTUARIAL

Cecilia y otras mujeres que se creyeron muertas

SEGUROS (IM)POSIBLES

Comité CERA del IAE. En el área de gestión de riesgos, la credencial profesional de referencia es CERA

Manuel Pérez, José J. Martínez. La España sanitaria, ciber-atacada

David Arroyo Guardeño. El difícil equilibrio entre riesgo y oportunidad en el contexto blockchain

Rafael Fernández Campos. Valor del Dato: Seguridad, Privacidad y Ética

Mª Ángeles Navarro Bas. Ciber… riesgos, también para las aseguradoras

Verónica Jiménez, Pablo Montoliu, José J. Martínez. El seguro de Ciber es cada vez más una necesidad

combatido por MAPFRE

Daniel Hernández Arroyo. Cyber resiliencia en el sector asegurador

Eduardo Fuentes. La Comunicación de Crisis como garante reputacional

John Jackson. Principle Ethical Hacking & Considerations

desde la perspectiva del gestor de riesgos

Pilar Otero. El derecho penal frente a los riesgos de internet: el ciberdelito

Diego James Cano Prentice. Cyberspace in the current security environment

Javier Candau. El Centro Criptológico Nacional como pilar del fortalecimiento de la ciberseguridad en España

Gonzalo Menéndez Margolles. La seguridad del dato en el ciberespacio: una aproximación legal

José Durán Martín. Ciberriesgos, procedencia y dificultades en la investigación policial

ENTREVISTA Miguel Ángel Ballesteros Martín

CARTA DEL PRESIDENTE

Pilar López. La ciberseguridad no es opcional en un mundo digital

Mar España Martí. Protección de datos y ciberdelincuencia

Rosa Díaz. La ciberseguridad es cosa de todos